Foto: Getty / Chip Somodevilla
En af landets førende udbydere af sikkerhed adgang badges og plast ID-kort er travlt med at lappe flere sårbarheder i sit system, hvilket kunne gøre det muligt for angribere at skjulte indtaste sikrede bygninger, og få top-niveau adgang til privilegier, der giver dem mulighed for at ændre en bygnings liste af autoriserede besøgende.
Cybersecurity firma Holdbar Forskning på tirsdag afsløret flere zero-day-sårbarheder er opdaget i PremiSys software, der er udviklet af IDenticard, et selskab, hvis foto ID software og adgangskontrolsystemer, som er meget brugt af føderale, statslige og lokale statslige organer. Virksomheden siger også sine kunder, hvilket nummer i titusindvis, omfatter K-12 skoler, gymnasier og universiteter, samt medicinske centre, fabrikker, og et ukendt antal af Fortune 500-virksomheder.
De mest kritiske fejl afsløret ved Holdbart ville gøre det muligt for en hacker at producenten deres egne, falske ID-kort, og potentielt deaktivere låse på en bruger facilitet, ifølge forskerne.
Holdbar sagde, at flere forsøg på at kontakte selskabet, før de afslører svagheder mislykkedes—noget, der IDenticard ‘ s moderselskab, milliard-dollar Wisconsin producent Brady Corporation, var hurtig til at eje op til.
“Vi tager de problemer, som er Holdbar, en førende tredjeparts cyber security research firma, seriøst og søger at indarbejde deres feedback i vores løbende produktudvikling cyklus. PremiSys™ System software er under konstant udvikling, og vi sætter pris på den omhu Holdbar løsning, der er skitseret i deres budskaber til os,” en Brady talsmand fortalte Gizmodo via e-mail.
De bemærkede, at “desværre,” Holdbart s meddelelser til selskabet blev overset. “Dette er uacceptabelt for os, og vi er i øjeblikket ved at gennemgå vores indgående meddelelse praksis for at sikre, at det ikke sker i fremtiden. Vi glæder os over ethvert engagement fra Holdbart, med hensyn til denne sag,” sagde de.
Selskabet tilføjede, at det har til hensigt at løse de problemer, “på kort sigt,” og vil være at kontakte sine kunder med nyheder om enhver udvikling.
En online-søgning viser, at Brady Corporation har haft mange aftaler med føderale regering agenturer, herunder de Afdelinger, Forsvar, Retsvæsen, Stat, Homeland Security, og Office of Personnel Management, til navn et par. Men, det er uklart, om nogen af disse myndigheder ved hjælp af de berørte PremiSys software, eller som kun har købt andre produkter, der sælges af virksomheden.
Andre offentligt tilgængelige dokumenter, der viser, at PremiSys systemet har været brugt i slutningen af et kontor i Byen New York, samt kontorer i den AMERIKANSKE Flåde og Hær, ud over en lang række kommunale og byens offentlige kontorer.
Fejl opdaget ved Holdbart efter sigende indeholde forældede og nemt krakket password kryptering; en hard-kodet adgangskode for at få adgang til backup—filer, hvilket betyder at det kan ikke ændres af brugerne, og standardlegitimationsoplysninger tilgængelige efter installationen, som ikke kan ændres, uden at IDenticard ‘ s bistand.
Cybersikkerhed virksomhed, sagde den AMERIKANSKE Computer Emergency Readiness Team, der opererer under Department of Homeland Security, er blevet meddelt.
“Den digitale tidsalder har bragt cyber og fysiske verdener sammen tak, i del, at vedtagelsen af tingenes internet. Organisationens sikkerhedspolitik ansvarsområde er ikke længere begrænset af en firewall, undernet, eller fysiske perimeter—det er nu grænseløst,” sagde Holdbart medstifter og CTO Renaud Deraison. “Det gør det kritisk vigtigt for sikkerheden hold at have et fuldstændigt overblik over, hvor de er udsat for, og i hvilket omfang.”
Deraison tilføjede, at i den “nye verden af tingenes internet” mange producenter har undladt at vurdere risikoen for, at ikke-opdateret software. “I dette tilfælde, organisationer, der bruger PremiSys for adgangskontrol er på en enorm risiko, da pletter er ikke til rådighed.”
Holdbar sagde, at brugerne bør segmentere deres netværk til at isolere PremiSys fra interne og eksterne trusler så meget som muligt. Sårbarheder—CVE-2019-3906, CVE-2019-3907, CVE-2019-3908, CVE-2019-3909—påvirker software version 3.1.190.
Dele Denne Historie