複数のIDEMIA生体認証デバイスに影響を与える重大な脆弱性を悪用して、ドアや改札口のロックを解除することができます。
このセキュリティ上の欠陥のため、TLSプロトコルがアクティブ化されていない場合、ネットワーク内の攻撃者は、脆弱なデバイスによって直接操作されるドアや改札口を開くために、認証なしで特定のコマンドを送信できます。
攻撃者は、脆弱なデバイスに再起動コマンドを送信することにより、バグを悪用してサービス拒否(DoS)状態を引き起こす可能性もあります。 アドバイザリー ID関連の物理的セキュリティサービスを専門とするフランスを拠点とするテクノロジー企業であるIDEMIAによって発行されました。
ロシアのサイバーセキュリティ会社PositiveTechnologiesの研究者によって特定されました。 制裁 昨年、ロシアの諜報機関との関係が疑われた米国による–この欠陥のCVSSスコアは9.1ですが、これまでCVE識別番号は発行されていません。
影響を受ける製品には、MorphoWave Compact MD / MDPI / MDPI-M、VisionPass MD / MDPI / MDPI-M、SIGMA Lite / Lite + / Wideのすべてのバリアント、SIGMA Extreme、およびMA VPMDが含まれます。
この問題は、重要なインフラストラクチャ施設、金融機関、医療機関、大学など、脆弱なIDEMIA生体認証デバイスに依存しているすべての組織に影響を与えます。
「アクティベーション、TLSプロトコルの適切な構成、およびデバイスへのTLS証明書のインストールにより、前述の脆弱性が修正されます」とIDEMIAは言います。
同社は、影響を受けるデバイスの将来のファームウェアリリースでデフォルトでTLSの使用を強制し、生体認証バイパスのリスクを完全に排除することを計画しています。
「この脆弱性は、指紋スキャナーと指紋と静脈パターンを分析する複合デバイスを備えたIDEMIAACSの生体認証リーダーのいくつかのラインで確認されています。 攻撃者はこの欠陥を悪用して保護地域に侵入したり、アクセス制御システムを無効にしたりする可能性があります」と、PositiveTechnologiesのICSセキュリティ責任者であるウラジミールナザロフは述べています。
関連する Diebold NixdorfのATMの欠陥により、攻撃者はファームウェアを変更し、現金を盗むことができました
関連する Intel CPUの脆弱性により、暗号化キーが公開される可能性があります
関連する WAGOコントローラーの欠陥により、ハッカーは産業プロセスを混乱させる可能性があります
出典:https://www.securityweek.com/vulnerability-idemia-biometric-readers-allows-hackers-unlock-doors