Nul
Billede: IDenticard (YouTube screengrab)
En hardcodede password og andre unpatched sårbarheder, der kan gøre det muligt for hackere at overtage kontrollen over ID-kort-baseret opbygning af adgang til systemer, forskere fra Holdbart, har afsløret.
På trods af at være fortalt af de spørgsmål, som både er Holdbar og den AMERIKANSKE Computer Emergency Response Team (US-CERT), sælger har ikke udsendt en patch, heller ikke selv besvarede forskere.
Sårbarheder-fire i alt– påvirke PremiSys, en kort-baseret opbygning af access system, der er udviklet af IDenticard. Detaljer om de fire fejl er blevet offentliggjort i dag i en Holdbar sikkerhedsbulletin. Mere dybdegående information er også tilgængelig i en Mellemstor blog-indlæg forfattet af Holdbart forsker, der har fundet problemer.
Af de fire, de vigtigste sikkerheds-brist er et registreret som CVE-2019-3906. Ifølge Holdbart, PremiSys bygning access-system leveres med indbyggede password til admin-kontoen.
“Brugerne er ikke tilladt at ændre disse legitimationsoplysninger,” Holdbart, siger forskerne. “Den eneste afhjælpning synes at være at begrænse trafikken til dette slutpunkt, som måske eller måske ikke har yderligere indflydelse på tilgængeligheden af programmet selv.”
“Disse oplysninger kan anvendes af en angriber til at dumpe indholdet af badge system database, ændre indholdet, eller andre forskellige opgaver med uhindret adgang,” forskere tilføjet.
Brugernavn og password er “IISAdminUsr” og “Badge1.”
Hvis PremiSys servere er udsat online, kan en hacker kan bruge dette brugernavn og adgangskode for at få adgang til en bygning ID-kort management system og indføre rogue kort eller deaktivere adgangskontrol funktioner helt.
En Shodan søgning viser, at kun en håndfuld af disse systemer tilsluttet internettet, er et godt tegn, at de fleste virksomheder har sikret systemer, men systemer, der ikke er forbundet til internettet, kan den stadig udnyttes fra det lokale netværk.
De tre andre fejl, der ikke er så alvorlig som den første, men ikke desto mindre farlige, omfatter:
CVE-2019-3907 – brugeroplysninger og andre følsomme oplysninger, der er gemt med en svag kryptering metode (Base64-kodet MD5 hashes – salt + password).CVE-2019-3908 – IDenticard backups er gemt inde i en password beskyttet ZIP-fil. Password er “ID3nt1card.”CVE-2019-3909 – Den IDenticard service installeres med en standard database-brugernavn og-adgangskode “PremisysUsr” / “ID3nt1card.” Der er desuden en vejledning til møde længere password standarder ved hjælp af “ID3nt1cardID3nt1card.” Brugere kan ikke ændre denne adgangskode uden at sende tilpassede adgangskoder til sælgeren direkte for at modtage en krypteret variant til brug i deres konfigurationer. Disse kendte oplysninger, der kan bruges af hackere til at få adgang til følsomme indholdet af databaserne.
Holdbar, siger sårbarheder påvirker PremiSys systemer, der kører med firmware version 3.1.190, og muligvis andre. Fordi sælger ikke samarbejde med forsknings-eller US-CERT team, det er uklart, om de rapporterede problemer blev lappet. Forskere, der ikke var i stand til at få deres hænder på den seneste version af PremiSys firmware for at kontrollere, om sælgeren afsendt en tavs patch uden at anmelde det til forskning team, selv om det er yderst usandsynligt.
Ifølge sin hjemmeside, IDenticard har titusinder af kunder over hele verden, herunder offentlige organer, Fortune 500 virksomheder, K-12 skoler, universiteter, medicinske centre og andre.
Kontaktet for en kommentar med ZDNet, en IDenticard talsmand omdirigeret vores anmodning til sit moderselskab, the Brady Corporation. Forsøg på at få fat i en talsmand, der kunne tale på denne sikkerhed var mislykket efter gentagne opfordringer.
Holdbar forskere, der nu anbefaler, at virksomheder undersøgelse, hvis PremiSys systemer er udsat online, og hvordan systemadministratorer har adgang til PremiSys motorer.
“For at reducere risikoen for kompromis, brugere bør segmentere deres netværk til at sikre, at systemer som PremiSys er isoleret fra interne og eksterne trusler så meget som muligt,” Holdbart anbefales.
Mere cybersecurity nyheder:
Hyatt Hoteller lancerer bug bounty programG Suite-opdatering advarer dig, når nogen er eksport af din virksomheds data
Facial anerkendelse virker ikke efter hensigten på 42 af 110 testet smartphonesNew værktøj automatiserer phishing-angreb, at bypass-2FA
Zerodium nu vil betale $2 millioner til Apple iOS-fjernbetjening jailbreaksMost hjemme-routere ikke drage fordel af Linux ‘ s forbedrede sikkerhedsfunktioner
Google nu giver dig mulighed for at donere til velgørenhed via Play Butik CNETPhishing og spearphishing: Et cheat sheet for professionelle, TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0