Foto: Getty / Chip Somodevilla
Einer der landesweit führenden Lieferanten von security-access-Abzeichen und die Kunststoff-ID-Karten scrambling zu patch mehrere Sicherheitslücken in seinem system, das kann es Angreifern ermöglichen, um heimlich eingeben gesicherten Gebäude und erhalten top-level-access-Privilegien, die Gewährung von Ihnen die Fähigkeit zu ändern, ein Gebäude in die Liste der zugelassenen Besucher.
Cybersecurity-Firma Tenable Forschung am Dienstag offengelegt mehrere zero-day-Schwachstellen entdeckt, in der PremiSys software, entwickelt von IDenticard, einem Unternehmen, dessen Foto-ID-software und access control-Systeme werden Häufig von Bundes -, Landes-und lokalen Behörden. Das Unternehmen sagt auch, seine Kunden, deren Anzahl in die Zehntausende, gehören K-12 Schulen, colleges und Universitäten, sowie medizinische Zentren, Fabriken, und eine unbekannte Zahl von Fortune-500-Unternehmen.
Die meisten kritischen Fehler entdeckt, durch Tenable würde einem Angreifer ermöglichen, die Hersteller Ihre eigenen, gefälschten ID-Karten, und möglicherweise deaktivieren Sie die sperren auf einer user facility, nach Ansicht der Forscher.
Haltbar gesagt, dass mehrere versuche an das Unternehmen wenden, bevor die Offenlegung der Schwachstellen bestanden—etwas, das IDenticard, ist die Muttergesellschaft der Unternehmen, die Milliarden-dollar-Wisconsin-Hersteller Brady Corporation, wurde schnell zu eigen.
“Wir nehmen die Themen identifiziert, die von Tenable, einem führenden Drittanbieter-cyber-security-research-Unternehmen, ernst und suchen zu integrieren, und Ihr feedback in unsere Laufenden Produktentwicklungsprozess. PremiSys™ – System-software wird ständig weiterentwickelt und wir schätzen die Sorgfalt Haltbar skizzierten in Ihren Nachrichten an uns,” einen Brady-Sprecher gegenüber Gizmodo per E-Mail.
Sie stellten fest, dass, “leider” Haltbar die Nachrichten von der Gesellschaft übersehen wurden. “Das ist für uns nicht akzeptabel und wir prüfen derzeit unsere inbound-Kommunikation practices, um sicherzustellen, dass es nicht in der Zukunft passieren. Wir begrüßen jedes engagement von Tenable bezüglich dieser Angelegenheit,” sagte Sie.
Das Unternehmen fügte hinzu, dass er beabsichtigt, die Probleme “kurzfristig,” und wäre die Kontaktaufnahme mit seinen Kunden mit Neuigkeiten über Entwicklungen.
Eine online-Suche zeigt, dass Brady Corporation hat zahlreiche Verträge mit Regierungsbehörden, einschließlich der Abteilungen für Verteidigung, Justiz, Staat, Homeland Security, Office of Personnel Management, um einige zu nennen. Es ist jedoch unklar, ob diese Agenturen sind mit den betroffenen PremiSys software, oder haben die nur gekauft, andere Produkte verkauft Unternehmen.
Andere öffentlich zugängliche Dokumente zeigen, dass die PremiSys-system wurde verwendet von Ende von einem Amt der Stadt New York, sowie Niederlassungen der US-Marine und der Armee, neben zahlreichen Kommunal-und Stadt-Behörden.
Der Fehler entdeckt Haltbar angeblich zählen veraltet und leicht zu knacken-Passwort-Verschlüsselung; eine hartcodierte Kennwort für den Zugriff auf backup—Dateien-was bedeutet, es kann nicht geändert werden, durch die Benutzer; und die Standard-Anmeldeinformationen zur Verfügung, die für die installation, die nicht geändert werden können, ohne IDenticard zu Hilfe.
Die cybersecurity-Firma sagte, die US Computer Emergency Readiness Team, das funktioniert unter der Abteilung der Heimat-Sicherheit, informiert wurde.
“Das digitale Zeitalter gebracht hat, die cyber-und physischen Welten zusammen, auch Dank der Einführung des Internet der Dinge. Eine Organisation, die die Sicherheit dürfe nicht mehr nur durch eine firewall, Subnetze oder physischen perimeter—es ist jetzt boundaryless”, sagte Haltbar ist Mitgründer und CTO Renaud Deraison. “Dies macht es kritisch wichtig für die Sicherheit, die teams, die vollständige Sichtbarkeit in denen Sie ausgesetzt sind, und in welchem Umfang.”
Deraison fügte hinzu, dass in der “neuen Welt des Internet der Dinge” viele Hersteller haben es versäumt, richtig zu beurteilen das Risiko der gepatchten software. “In diesem Fall Organisationen, die mit PremiSys für access control sind auf ein enormes Risiko als-patches sind nicht verfügbar.”
Haltbar, sagte, dass die Nutzer-segment Ihr Netzwerk zu isolieren PremiSys vor internen und externen Bedrohungen, so viel wie möglich. Die Schwachstellen—CVE-2019-3906, CVE-2019-3907, CVE-2019-3908, CVE-2019-3909—auf das software-version 3.1.190.
Teilen Sie Diese Geschichte