Noll
Bild: IDenticard (YouTube screengrab)
En hårdkodade lösenord och andra unpatched sårbarheter som kan göra det möjligt för hackare att ta kontroll över ID-kort-baserade bygga system för tillträde, forskare från Hållbart har avslöjat.
Trots att höra av frågor av både Hållbart och den AMERIKANSKA Computer Emergency Response Team (US-CERT), säljaren har inte utfärdat en patch, eller ens svarade för en forskare.
De sårbarheter –fyra totalt– påverka PremiSys, en kort-baserade bygga tillgång system som utvecklats av IDenticard. Information om de fyra brister som har publicerats idag i ett Hållbart säkerhetsmeddelande. Mer ingående information finns även tillgänglig i en Medelstor blogginlägg författat av Hållbart forskare som funnit frågor.
Av de fyra, den viktigaste säkerhetsbrist är en spårat som CVE-2019-3906. Enligt Hållbart, PremiSys bygga tillgång systemet levereras med en hårdkodade lösenord för admin-kontot.
“Användare är inte tillåtet att ändra dessa referenser,” Hållbart forskarna säger. “Den enda begränsning verkar vara att begränsa trafiken till denna slutpunkt, som kanske eller kanske inte har ytterligare påverkan på tillgängligheten av själva ansökan.”
“Dessa uppgifter kan användas av en angripare för att dumpa innehållet av badge system databasen, ändra innehållet, eller andra olika uppgifter med fri tillgång,” forskare lagt till.
Användarnamn och lösenord är “IISAdminUsr” och “Badge1.”
Om PremiSys servrar är utsatta på nätet, att en angripare kan använda användarnamn och lösenord för att få tillgång till en byggnad ID card management system och införa oseriösa kort eller inaktivera åtkomst kontroll funktioner helt och hållet.
En Shodan-sökning visar bara en handfull av dessa system som är anslutna till internet, ett bra tecken på att de flesta företag har säkra system, men systemen inte är ansluten till internet kan fortfarande utnyttjas från det lokala nätverket.
De andra tre brister, inte lika allvarlig som den första, men farlig ändå, är:
CVE-2019-3907 – inloggningsuppgifter och annan känslig information är lagrad med en känd-svag metod för kryptering (Base64-kodad MD5-hashar – salt + lösenord).CVE-2019-3908 – IDenticard säkerhetskopior lagras inne i en lösenordsskyddad ZIP-fil. Lösenordet är “ID3nt1card.”CVE-2019-3909 – Den IDenticard tjänsten installerar med en standard databas användarnamn och lösenord “PremisysUsr” / “ID3nt1card.” Det finns också instruktioner för mötes-och längre lösenord standard genom att använda “ID3nt1cardID3nt1card.” Användare kan inte byta lösenord utan att skicka egna lösenord till säljaren direkt för att få en krypterad variant att använda i deras konfigurationer. Dessa referenser kan användas av angripare att komma åt det känsliga innehållet i databaserna.
Hållbart, säger de sårbarheter som påverkar PremiSys system som kör firmware version 3.1.190, och möjligen andra. Eftersom säljaren inte samarbeta med forskning eller US-CERT laget, det är oklart om den rapporterade problem lagas. Forskarna inte kunna få sina händer på den senaste versionen av PremiSys firmware för att kolla om säljaren levererat en tyst patch utan att meddela den forskning lag, även om detta är högst osannolikt.
Enligt sin hemsida, IDenticard har tiotusentals kunder över hela världen, inklusive myndigheter, Fortune 500-företag-K-12 skolor, universitet, medicinska centra och andra.
Kontaktade för en kommentar genom att ZDNet, en IDenticard talesperson omdirigeras vår begäran till dess moderbolag, Brady Corporation. Försök att få tag i en talesperson som kan uttala mig om detta säkerhetsproblem misslyckades efter upprepade samtal.
Hållbart forskarna rekommenderar nu att företag review om deras PremiSys system är utsatt på nätet och hur systemadministratörer använder PremiSys gränssnitt.
“För att minska risken för kompromiss, användare bör fördela sina nätverk för att säkerställa att system som PremiSys är isolerade från inre och yttre hot så mycket som möjligt,” Hållbart rekommenderas.
Mer it nyheter:
Hyatt Hotels lanserar bug bounty programG Suite-uppdatering som varnar dig när någon är exporterande företagets data
Ansiktsigenkänning fungerar inte som tänkt på 42 110 testade smartphonesNew verktyg som automatiserar phishing-attacker för att kringgå 2FA
Zerodium nu kommer att betala $2 miljoner för Apple iOS-fjärrkontrollen jailbreaksMost hem routrar inte dra nytta av Linux förbättrade funktioner säkerhet
Google nu kan du skänka pengar till välgörenhet via Play Butik CNETPhishing och spearphishing: En lathund för affärsmän TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0