PT-2024-31587 · Gotenna · Gotenna Pro Atak Plugin
Clayton Smith
+2
·
Publicado
2024-09-26
·
Atualizado
2024-10-17
·
CVE-2024-45374
CVSS v3.1
6.5
Média
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin goTenna Pro ATAK (versões afetadas não especificadas)
Descrição
A vulnerabilidade diz respeito ao uso de senhas fracas para compartilhar chaves de criptografia por meio do método de transmissão de chaves no plug-in goTenna Pro ATAK. Se a chave de criptografia transmitida for capturada e a senha for quebrada por meio de um ataque de força bruta, é possível descriptografar a chave e usá-la para descriptografar todas as mensagens futuras e passadas enviadas por meio de transmissão criptografada com essa chave específica. Esta vulnerabilidade se aplica apenas quando a chave é transmitida por RF. Além disso, as chaves de criptografia são armazenadas juntamente com um IV estático no dispositivo, permitindo a descriptografia completa das chaves armazenadas no dispositivo e possibilitando que um invasor descriptografe todas as comunicações de transmissão criptografadas com base nas chaves de transmissão armazenadas no dispositivo.
Recomendações
Como solução alternativa temporária, considere usar o compartilhamento local de chaves de criptografia por QR para segurança adicional.
Restrinja o uso do método de transmissão de chaves por RF para minimizar o risco de exploração.
Evite usar o IV estático para armazenamento de chaves de criptografia até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insecure Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gotenna Pro Atak Plugin