鑒于這是一個硬編碼的漏洞����,因此必須 IDenticard 自行修補。然而截止發(fā)稿時,該公司仍未就此事作出回應
根據(jù)外媒的報道�,被公立院校��、政府、以及財富 500 強企業(yè)廣泛使用的PremiSys
門禁系統(tǒng)���,近日被曝出存在硬編碼后門��。不過�,這并不是PremiSys 門禁系統(tǒng)首次被爆出存在安全問題���。
早在去年年底���,Tenable Research 的一安全分析師就已經(jīng)在一套名為 PremiSys IDenticard
的訪問控制系統(tǒng)中,發(fā)現(xiàn)了一個硬編碼的后門��。該軟件用于未員工創(chuàng)建身份識別信息(ID
badges)和遠程管理讀卡器���,以便對建筑內各個部分的訪問權限進行管理�。
Tenable Research 的安全分析師指出���,IDenticard 的 PremiSys 3.1.190
版本���,包含了一個允許攻擊者訪問管理功能的后門,讓它能夠在系統(tǒng)中添加、編輯和刪除用戶��,分配權限�、并控制建筑物內的讀卡器。由于PremiSys 基于.Net
框架構建���,因此 Sebree 能夠借助 Jetbrain 的“dotPeek”.Net 反編譯器,對該軟件進行逆向工程��。
發(fā)現(xiàn)漏洞后�,Sebree 多次通知 IDenticard、并試圖取得聯(lián)系�,但直到 45 天過去,該公司還是無動于衷�。無奈之下,Sebree
選擇向計算機緊急響應小組(CERT)通報此事����。遺憾的是,盡管 CERT 嘗試與 IDenticard 聯(lián)系�����,但 90
天后�,該公司仍未作出回應。事已至此,他們只得公開披露相關漏洞����。
鑒于未能訪問系統(tǒng)的物理組件,因此 Tenable 只是簡單描述了這款應用程序的服務流程����。
PremiSys 中的身份驗證例程,包含一個名叫
IgnoreAuthentication()的函數(shù)���。只要使用硬編碼憑證���,此命令就能夠完全按照它所說的那樣去執(zhí)行。由于 IDenticard
的軟件被廣泛使用����,因此漏洞的波及面相當之廣。
該公司的網(wǎng)站稱����,其為財富 500 強企業(yè)、K-12 學校��、各大院校�、醫(yī)療中心�、工廠����,甚至地級、州級和聯(lián)邦政府機構與辦事處所采用�����。
鑒于這是一個硬編碼的漏洞���,因此必須 IDenticard 自行修補���。然而截止發(fā)稿時����,該公司仍未就此事作出回應。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺��。如使用任何字體和圖片文字有冒犯其版權所有方的���,皆為無意�����。如您是字體廠商���、圖片文字廠商等版權方��,且不允許本站使用您的字體和圖片文字等素材�,請聯(lián)系我們���,本站核實后將立即刪除�!任何版權方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的����,均視為新型網(wǎng)絡碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟賠償�!敬請諒解!
粵公網(wǎng)安備 44030402000264號