Эксперты Positive Technologies (Наталья Тляпова, Сергей Федонин, Владимир Кононович и Вячеслав Москвин) обнаружили критическую уязвимость в биометрических считывателях IDEMIA, предназначенных для организации контроля доступа.  Устройства, которые затрагивает  ошибка, применяются в крупнейших финансовых учреждениях мира, университетах, организациях здравоохранения, на объектах критически важной инфраструктуры.

Баг получил идентификатор VU-2021-004 и оценку 9,1 балла по шкале оценки уязвимостей CVSS v3.

«Уязвимость выявлена в нескольких линейках биометрических считывателей для СКУД [система контроля и управления доступом] IDEMIA, оснащенных как сканерами отпечатков пальцев, так и комбинированными устройствами, анализирующими отпечатки и рисунки вен пальцев. Атакующий потенциально может проникнуть на охраняемую территорию или заблокировать работу систем контроля доступа», — рассказал руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Злоумышленник, действующий удаленно, мог без аутентификации использовать следующие команды:

  • trigger_relay для открытия двери или турникета, если терминал непосредственно управляет ими;
  • terminal_reboot, чтобы вызвать отказ в обслуживании.

Сообщается, что уязвимости подвержены следующие устройства:

  • MorphoWave Compact MD;
  • MorphoWave Compact MDPI;
  • MorphoWave Compact MDPI-M;
  • VisionPass MD;
  • VisionPass MDPI;
  • VisionPass MDPI-M;
  • SIGMA Lite (все версии);
  • SIGMA Lite+ (все версии);
  • SIGMA Wide (все версии);
  • SIGMA Extreme;
  • MA VP MD.

Для устранения уязвимости пользователям рекомендуется активировать и корректно настроить протокол TLS согласно рекомендациям по безопасной установке от компании IDEMIA. В одной из будущих версий прошивки IDEMIA обещает сделать активацию TLS обязательной по умолчанию.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии