Foto: Getty / Chip Somodevilla
Een van amerika ‘ s meest toonaangevende leveranciers van security access badges en plastic ID-kaarten is klauterend patch meerdere kwetsbaarheden in het systeem, zodat aanvallers om heimelijk te voeren beveiligde gebouwen en het verkrijgen van top-niveau van de toegangsrechten toekennen van de mogelijkheid tot het wijzigen van een gebouw lijst van geautoriseerde bezoekers.
Cybersecurity stevig Gefundeerd Onderzoek op dinsdag bekendgemaakt meerdere zero-day kwetsbaarheden ontdekt in de PremiSys software die is ontwikkeld door IDenticard, een bedrijf waarvan de foto-ID software en toegang controle systemen worden op grote schaal gebruikt door de federale, provinciale en lokale overheden en instanties. Het bedrijf zegt ook haar klanten, welk aantal in de tienduizenden, zijn K-12 scholen, hogescholen en universiteiten, medische centra, fabrieken, en een onbekend aantal van de Fortune 500-bedrijven.
De meest kritieke fout ontdekt door Houdbaar zou een aanvaller de mogelijkheid tot fabrikant hun eigen, aangepaste, vervalste ID-kaarten, en mogelijk uitschakelen van sloten op een door gebruiker faciliteit, aldus de onderzoekers.
Houdbaar zei dat meerdere pogingen tot contact op met het bedrijf voor het openbaar maken van de kwetsbaarheden is mislukt—iets dat IDenticard het moederbedrijf van de miljard-dollar Wisconsin fabrikant Brady Corporation, was er snel bij.
“We nemen de geconstateerde problemen door Houdbaar, een toonaangevende derde partij cyber security research bedrijf serieus neemt en op zoek zijn om rekening te houden met hun feedback in onze voortdurende product-ontwikkeling cyclus. PremiSys™ – Systeem software is voortdurend in ontwikkeling en we waarderen de diligence Houdbaar is geschetst in hun berichten naar ons,” een Brady-woordvoerder vertelde Gizmodo per e-mail.
Ze merkte op dat “helaas,” de Houdbaarheid van de berichten van het bedrijf werden over het hoofd gezien. “Dit is onaanvaardbaar voor ons en wij zijn momenteel bezig om onze interne communicatie-praktijken om ervoor te zorgen het niet gebeuren in de toekomst. We zijn blij met de betrokkenheid van Houdbaar is over deze kwestie,” zei ze.
Het bedrijf toegevoegd dat het voornemens is de problemen aan te pakken “op korte termijn” en zou contact met haar klanten met het nieuws van alle ontwikkelingen.
Een online onderzoek toont aan dat Brady Corporation heeft vele overeenkomsten met de federale overheid, met inbegrip van de Departementen van Defensie, Justitie, Staat, Homeland Security, en het Office of Personnel Management, om er een paar te noemen. Echter, het is onduidelijk of een van deze agentschappen zijn met behulp van de getroffen PremiSys software, of hebben gewoon gekocht andere producten die worden verkocht door een bedrijf.
Op andere publiekelijk beschikbare documenten tonen aan dat de PremiSys systeem laat een kantoor van de Stad van New York, evenals de kantoren van de AMERIKAANSE Marine en het Leger, in aanvulling op tal van gemeentelijke en stedelijke overheden.
De gebreken zijn ontdekt door Houdbaar, naar verluidt, zijn verouderd en gemakkelijk te kraken wachtwoord encryptie; een hard-gecodeerd wachtwoord voor toegang tot de back-up bestanden—wat betekent dat het kan worden gewijzigd door gebruikers; en is standaard referenties beschikbaar op de installatie, die niet gewijzigd kunnen worden zonder IDenticard hulp.
De cybersecurity bedrijf zei de AMERIKAANSE Computer Emergency Readiness Team, dat opereert onder het Department of Homeland Security, de hoogte is gesteld.
“Het digitale tijdperk heeft gebracht, de digitale en fysieke werelden samen mede dankzij de goedkeuring van de IoT. Een organisatie die de veiligheid van een recht is niet langer beperkt door een firewall, subnetten, of fysieke perimeter—het is nu boundaryless,” zei Houdbaar is mede-oprichter en CTO Renaud Deraison. “Dit maakt het uitermate belangrijk voor de veiligheid in de teams volledig inzicht hebt in waar ze worden blootgesteld en in welke mate.”
Deraison toegevoegd dat in de “nieuwe wereld van de IoT,” veel fabrikanten hebben verzuimd om een goede beoordeling van het risico van niet-gepatchte software. “In dit geval organisaties die gebruik maken van PremiSys voor toegangscontrole zijn op een enorm risico als patches zijn niet beschikbaar.”
Houdbaar zei dat gebruikers moeten segment hun netwerk te isoleren PremiSys van interne en externe bedreigingen zo veel mogelijk. De kwetsbaarheid CVE—2019-3906, CVE-2019-3907, CVE-2019-3908, CVE-2019-3909—invloed op de versie van de software 3.1.190.
Deel Dit Verhaal