Forskare har upptäckt en våg av sårbarheter som påverkar visitor management system som automation har ersatt mänsklig assistenter.
Automatisering, artificiell intelligens (AI), machine learning (ML), Internet, Internet of Things (IoT), och rörlighet har börjat genomsyra varje aspekt av vårt dagliga liv. I besöksnäringen, dessa tekniker har lagt fram en möjlighet för att förbättra säkerheten för besökare och gäster, liksom för att minska den mänskliga arbetskraft som krävs för att upprätthålla en skyddande åtgärder.
Så kallade visitor management system som ersätter din genomsnittliga väktare eller reception håller på att bli big business som förväntas bli en marknad värd över $1,3 miljarder 2025.
Men det ögonblick du lägga till Internet-anslutning till en enhet, som du är på att bjuda in potentiella attacker — och sårbarheter som finns i märken och digitala kontrollsystem kan vara lika mottaglig för att utnyttja som alla andra.
Se även: Cloudflare expanderar regeringen garanterar kanarieöarna i öppenhet bud
För cyberattackers, förmåga att manipulera med behörighetskontrollen kan ge dem obehörig åtkomst till byggnader och områden för kriminella system. Även om detta kan tyckas vara en udda utsikter, social engineering — såsom en man att klä sig som en underhållstekniker att passera genom byggnader utan utmaningen, är redan en välkänd taktik.
“Om en besökare management system fungerar som det ska vara lättare att identifiera vilka besökare som är lagliga och om de ska vara tillåtna att flytta hela campus för obeledsagat,” IBM säger. “Om systemen inte fungerar som avsett, kan det ge en falsk känsla av säkerhet för att de företag som använder dem.”
Företagets it-säkerhet laget, IBM X-Force Red, som nyligen undersökte säkerhet hållning av fem populära visitor management system som erbjuds av Jolly Teknik, HID Global, Tröskel Säkerhet, Sändebud, och Receptionist.
TechRepublic: Varför företag rädsla it-angrepp från ex-anställda mer än nationalstater
Teamet finns totalt 19 zero-day sårbarheter över olika leverantörers produkter, Jolly Teknik’ Lobby Koll på Skrivbordet, HID Global är EasyLobby Solo -, Tröskel-Säkerhet är eVisitorPass, Sändebud Sändebud Pass, och Receptionist-system.
IBM X-Force Red: s resultat ingår information lämnas ut sårbarheter, användning av standard administratörsbehörighet, eskalering buggar som kan göra att information finnar av sådana miljöer, och dataläckage inklusive besökaren själv registrerar, personnummer, körkort nummer.
CNET: Vid förhandlingen den federala data-integritet lag, debatt facklor över statliga regler
“Även om besökaren management system är inte ansluten till något nätverk och inte fråga emblem, den håller fortfarande uppgifter om besökare, vilket kan vara en välsignelse för konkurrenter och inuti handlare,” forskarna säger. “Att veta, till exempel, som VD för ett närstående företag har varit på besök varje dag under de sista veckorna kan vara värdefulla underrättelser för att samla in. Beroende på vilka data besökssystem butiker, det kan vara en möjlighet för identitetsstöld.”
Leverantörer påverkas av forskarnas slutsatser var anmälda innan offentliggörande. Flera sårbarheter har lappat, andra korrigeringar kommer att utfärdas i den nära framtiden, och några av de buggar kommer att mildras genom isolering tekniker.
De sårbarheter som finns listade nedan.
Lobby Track Skrivbordet
CVE-2018-17482 : Besökaren själv registrerar, utlämnande av information
CVE-2018-17483: Körkort antalet utlämnande av information
CVE-2018-17484: Databas utlämnande av information
CVE-2018-17485: Standard konto
CVE-2018-17486: Besökaren själv registrerar, säkerhet bypass
CVE-2018-17487: Kiosk breakout utökning av privilegier
CVE-2018-17488: Kiosk breakout utökning av privilegier
EasyLobby Solo
CVE-2018-17489: personnummer utlämnande av information
CVE-2018-17490: Task manager denial of service
CVE-2018-17491: Program utökning av privilegier
CVE-2018-17492: Standard konto
eVisitorPass
CVE-2018-17493: Fullscreen knappen breakout utökning av privilegier
CVE-2018-17494: Start-Menyn breakout utökning av privilegier
CVE-2018-17495: – Hjälp Dialogrutan utökning av privilegier
CVE-2018-17496: Kiosk utökning av privilegier
CVE-2018-17497: Admin referenser standard konto
Sändebud Pass
CVE-2018-17499: Sändebud Pass för Android och Sändebud Pass för iPhone API-nyckel
utlämnande av information
CVE-2018-17500: – Sändebud Pass för Android och Sändebud Pass för iPhone OAuth Creds utlämnande av information
Receptionisten
CVE-2018-17502: Receptionist för iPad kontakter utlämnande av information
Tidigare och relaterade täckning
Dow Jones bevakningslista av riskfyllda finansiella förbindelser läckt ut på nätet
Riktade malware attacker mot Elasticsearch servrar våg
19-årig gör miljoner från etisk hacking
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter