VDB-134183 · CVE-2019-11336 · BID 108072

Sony Smart TV Photo Sharing Plus Credentials الكشف عن المعلومات

CVSS الدرجة المؤقتة للميتا	سعر الإكسبلويت الحالي (≈)	درجة اهتمام CTI
6.1	$0-$5k	0.00

الملخصالمعلومات

تم أكتشاف ثغرة أمنية في Sony Smart TV. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في دالة غير معروفة من العنصر Photo Sharing Plus. تؤدي عملية التلاعب إلى الكشف عن المعلومات (Credentials). أسم الثغرة الأمنية هوCVE-2019-11336. يمكن البدأ بالهجوم هذا عن بعد. هنالك إكسبلويت متوفرة. يوصى بإيقاف تشغيل المكون المتأثر.

التفاصيلالمعلومات

تم أكتشاف ثغرة أمنية في Sony Smart TV. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في دالة غير معروفة من العنصر Photo Sharing Plus. تؤدي عملية التلاعب إلى الكشف عن المعلومات (Credentials). تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-532. تم اكتشاف الخلل بتاريخ 03/10/2018. تم الإعلان عن الثغرة 23/04/2019 من خلال xen1thLabs تحت Multiple vulnerabilities in Sony Smart TVs كنوع Mailinglist Post (Bugtraq) بواسطة HackerOne. يمكن عرض الاستشارة من هنا seclists.org. تم النشر بالتنسيق مع الشركة المالكة.

أسم الثغرة الأمنية هوCVE-2019-11336. تم تخصيص CVE في 18/04/2019. يمكن البدأ بالهجوم هذا عن بعد. التفاصيل التقنية غير متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. هنالك إكسبلويت متوفرة. تم إتاحة الاستغلال للجمهور وقد يتم استغلاله. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1592.

في حال وجود إثبات المفهوم، يتم الإعلان عنه كـ إثبات المفهوم. تستطيع تحميل الإكسبلويت من هنا seclists.org. تمت معالجة الثغرة كاستغلال يوم-صفر خاص لمدة لا تقل عن 202 يومًا. كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $5k-$25k. الكود الخاص بالاستغلال هو:

root@kali:~# wget -qO- --post-data='{"id":80,"method":"getContentShareServerInfo","params":[],"version":"1.0"}' 
http://[ip_tv]:10000/contentshare/
{"result":[{"ssid":"DIRECT-GD-BRAVIA","keyType":"","key":"8362tbwX","deviceName":"","url":"http:\/\/192.168.49.1","touchPadRemote":"notSupported"}],"id":80}

يوصى بإيقاف تشغيل المكون المتأثر. يحتوي التنبيه على الملاحظة التالية:

Sony confirms the vulnerabilities affects some models and "Sony plans to terminate Photo Sharing Plus service for all of models, and that completion date is scheduled for April 12th, 2019."

منتجالمعلومات

النوع

Digital Media Player

المجهز

Sony

الأسم

Smart TV

الرخصة

تجاري

CPE 2.3المعلومات

🔍

CPE 2.2المعلومات

🔍

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 6.2
VulDB الدرجة المؤقتة للميتا: 6.1

VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 4.9
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

باحث الدرجة الأساسية: 5.3
باحث متجه: 🔍

NVD الدرجة الأساسية: 8.1
NVD متجه: 🔍

CVSSv2المعلومات

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

متجه	التعقيد	توثيق	السرية	الأمانة	التوفر
افتح	افتح	افتح	افتح	افتح	افتح
افتح	افتح	افتح	افتح	افتح	افتح
افتح	افتح	افتح	افتح	افتح	افتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الأسم: Credentials
الفئة: الكشف عن المعلومات / Credentials
CWE: CWE-532 / CWE-200 / CWE-284
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Day	افتح	افتح	افتح	افتح
اليوم	افتح	افتح	افتح	افتح

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: تعطيل
الحالة: 🔍

زمن الهجوم الفوري: 🔍
وقت تأخير الاستغلال: 🔍

الجدول الزمنيالمعلومات

03/10/2018 🔍
10/10/2018 +7 أيام 🔍
12/10/2018 +2 أيام 🔍
18/04/2019 +188 أيام 🔍
23/04/2019 +5 أيام 🔍
23/04/2019 +0 أيام 🔍
29/04/2019 +6 أيام 🔍
13/06/2024 +1872 أيام 🔍