Ethernet - сеть, и улов зависит от того, насколько хорошо она поставлена.

 

Связь с редакцией
Рассылка новостей

Уязвимость в устройствах IDEMIA могла использоваться для открытия дверей и турникетов

19.01.2022 18:49

Критическую уязвимость VU-2021-004, получившую оценку 9,1 по шкале CVSS v3, обнаружили эксперты Positive Technologies Наталья Тляпова, Сергей Федонин, Владимир Кононович и Вячеслав Москвин. Устройства, в которых обнаружена ошибка, применяются в крупнейших финансовых учреждениях мира, университетах, организациях здравоохранения, на объектах критически важной инфраструктуры. Принудительное использование TLS для протокола управления позволит устранить риск обхода биометрической идентификации.

«Уязвимость выявлена в нескольких линейках биометрических считывателей для СКУД IDEMIA, оснащенных как сканерами отпечатков пальцев, так и комбинированными устройствами, анализирующими отпечатки и рисунки вен пальцев. Атакующий потенциально может проникнуть на охраняемую территорию или заблокировать работу систем контроля доступа», — рассказал руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Злоумышленник, действующий удалённо, может без аутентификации использовать следующие команды:

  • команду trigger_relay для открытия двери или турникета, если терминал непосредственно управляет ими;
  • или команду terminal_reboot, чтобы вызвать отказ в обслуживании.
  • Для устранения уязвимости пользователи должны активировать и корректно настроить протокол TLS согласно разделу 7 Рекомендаций по безопасной установке компании IDEMIA. В одной из будущих версий прошивки IDEMIA сделает активацию TLS обязательной по умолчанию.

    Уязвимости подвержены следующие устройства:
    MorphoWave Compact MD;
    MorphoWave Compact MDPI;
    MorphoWave Compact MDPI-M;
    VisionPass MD;
    VisionPass MDPI;
    VisionPass MDPI-M;
    SIGMA Lite (все варианты);
    SIGMA Lite+ (все варианты);
    SIGMA Wide (все варианты);
    SIGMA Extreme;
    MA VP MD.

    В июле 2021 года IDEMIA исправила три уязвимости, обнаруженные экспертами Positive Technologies.

    www.idemia.com  и  www.ptsecurity.com

    Хроника

    Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
    Телефон: (926) 212-60-97.
    E-mail: info@avtprom.ru или avtprom@ipu.ru

    © ООО Издательский дом "ИнфоАвтоматизация", 2003-2024 гг.

    РассылкиSubscribe.Ru
    Автоматизация в
    промышленности