IDEMIA исправила обнаруженные Positive Technologies уязвимости в устройствах биометрической идентификации

22.07.2021 13:29

В списке угроз — обход биометрической идентификации, проникновение на охраняемую территорию. IDEMIA выпустила обновленную прошивку.

Компания IDEMIA исправила три уязвимости, обнаруженные экспертами Positive Technologies Натальей Тляповой, Сергеем Федониным, Владимиром Кононовичем и Вячеславом Москвиным. Одна из уязвимостей оказалась критически опасной. Ошибки выявлены в прошивке устройств IDEMIA серий MoprhoWave, VisionPass, SIGMA, MorphoAccess, которые предназначены для организации контроля доступа с помощью биометрической идентификации.

Используя эти уязвимости, злоумышленник может получить доступ к удаленному выполнению команд, вызвать отказ в обслуживании устройства, а также производить на нём чтение и запись произвольных файлов.

Первый недостаток безопасности CVE-2021-35522 (оценка 9,8 по шкале CVSS v3, критическая степень риска) может позволить злоумышленнику удаленно выполнить произвольный код. Ошибка относится к классу «переполнение буфера» и связана с отсутствием проверки длины входных данных, полученных из сетевого пакета протокола Thrift.

«Эксплуатация этой уязвимости позволяет обойти биометрическую идентификацию, которую обеспечивают перечисленные выше устройства IDEMIA. В результате атакующий может, например, удаленно открыть двери, контролируемые устройством, и проникнуть на охраняемую территорию», — рассказывает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Вторая уязвимость CVE-2021-35520 (оценка 6,2) связана с переполнением в куче обработчика последовательного порта. При наличии физического доступа к последовательному порту имеется возможность вызвать отказ в обслуживании устройства.

Третья уязвимость CVE-2021-35521 (оценка 5,9) относится к классу «выход за пределы директории». Ошибка позволяет читать и записывать произвольные файлы. Эти возможности позволяют реализовать несанкционированное выполнение привилегированных команд на устройстве.

Для устранения возможности эксплуатации выявленных уязвимостей необходимо установить последнюю версию прошивки, доступную на официальном сайте IDEMIA.
Positive Technologies уже 19 лет создает инновационные решения в сфере информационной безопасности.

Продукты и сервисы компании позволяют выявить, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в IT-инфраструктуре предприятий. Наши технологии построены на многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности. Сегодня свою безопасность нам доверяют более 2000 компаний в 30 странах мира. В числе наших клиентов в России — 80% участников рейтинга «Эксперт-400».

Продукты

Последний вышедший номер

Читайте в номере:

Усовершенствованное управление технологическими процессами: зарождение и развитие, состояние и прогноз рынка, российская составляющая, тренды, проблемы импортозамещения

Обнаружение дефектов металлопроката с помощью модифицированной на основе физически-информированного градиентного анализа функции потерь YOLOv8

Методическое обеспечение САПР технологической оснастки в КОМПАС-3D

Функциональная безопасность и кибербезопасность систем противоаварийной автоматической защиты в составе АСУТП технологических процессов нефтепереработки

Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru

Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.

Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.

В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.

Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.