Критическая уязвимость, затрагивающая несколько устройств биометрической идентификации IDEMIA, может быть использована для разблокировки дверей и турникетов.
Из-за этого дефекта безопасности, если протокол TLS не активирован, злоумышленник в сети может отправлять определенные команды без аутентификации, чтобы открывать двери или турникеты, управляемые непосредственно уязвимым устройством.
Злоумышленник также может использовать эту ошибку, чтобы вызвать состояние отказа в обслуживании (DoS), отправив команду перезагрузки на уязвимое устройство. консультативный опубликовано IDEMIA, французской технологической компанией, которая специализируется на услугах физической безопасности, связанных с идентификацией.
Выявлено исследователями российской фирмы по кибербезопасности Positive Technologies, которая была санкционированные Соединенными Штатами в прошлом году за предполагаемые связи с российской разведкой — уязвимость имеет оценку CVSS 9.1, но до сих пор ей не был присвоен идентификационный номер CVE.
Затронутые продукты включают MorphoWave Compact MD/MDPI/MDPI-M, VisionPass MD/MDPI/MDPI-M, все варианты SIGMA Lite/Lite+/Wide, SIGMA Extreme и MA VP MD.
Эта проблема затрагивает все организации, использующие уязвимые устройства биометрической идентификации IDEMIA, включая объекты критической инфраструктуры, финансовые учреждения, организации здравоохранения и университеты.
«Активация, правильная настройка протокола TLS и установка TLS-сертификата на устройстве устраняют вышеупомянутую уязвимость», — говорится в сообщении IDEMIA.
Компания планирует принудительно использовать TLS по умолчанию в будущих выпусках прошивки для затронутых устройств, чтобы полностью исключить риск обхода биометрической идентификации.
«Уязвимость выявлена в нескольких линейках биометрических считывателей для СКУД IDEMIA, оснащенных сканерами отпечатков пальцев и комбинированными устройствами, анализирующими отпечатки пальцев и узоры вен. Злоумышленник потенциально может воспользоваться уязвимостью, чтобы проникнуть в охраняемую зону или вывести из строя системы контроля доступа», — говорит Владимир Назаров, руководитель направления безопасности АСУ ТП Positive Technologies.
Связанный: Дефекты банкоматов Diebold Nixdorf позволили злоумышленникам изменить прошивку и украсть наличные
Связанный: Уязвимость процессора Intel может раскрыть криптографические ключи
Связанный: Недостатки контроллера WAGO могут позволить хакерам нарушить производственные процессы