CVE-2019-20457
KrytyczneStreszczenie
W urządzeniach Brother MFC-J491DW C1806180757 odkryto problem, który pozwala na uzyskanie hasha hasła interfejsu webowego drukarki bez autoryzacji. Nagłówek odpowiedzi z nieudanej próby logowania zwraca niekompletny cookie autoryzacyjny, który zawiera MD5 hash hasła w formacie szesnastkowym.
Ocena ryzyka
Atakujący może łatwo uzyskać prawdziwy hash MD5 i wykorzystać ataki offline do zdobycia dostępu administracyjnego do urządzenia, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się zabezpieczenie interfejsu webowego drukarki poprzez wprowadzenie silniejszych mechanizmów autoryzacji oraz regularne aktualizowanie oprogramowania urządzenia.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered on Brother MFC-J491DW C1806180757 devices. The printer's web-interface password hash can be retrieved without authentication, because the response header of any failed login attempt returns an incomplete authorization cookie. The value of the authorization cookie is the MD5 hash of the password in hexadecimal. An attacker can easily derive the true MD5 hash from this, and use offline cracking attacks to obtain administrative access to the device.

