Подписаться
Читать в телеграм
Устройства, в которых обнаружена ошибка, применяются в крупнейших финансовых учреждениях мира, университетах, организациях здравоохранения, на объектах критически важной инфраструктуры. Принудительное использование TLS для протокола управления позволит устранить риск обхода биометрической идентификации.
Уязвимость выявлена в нескольких линейках биометрических считывателей для СКУД IDEMIA, оснащенных как сканерами отпечатков пальцев, так и комбинированными устройствами, анализирующими отпечатки и рисунки вен пальцев. Атакующий потенциально может проникнуть на охраняемую территорию или заблокировать работу систем контроля доступа.
Владимир Назаров,
руководитель отдела безопасности промышленных систем управления Positive Technologies.
Злоумышленник, действующий удаленно, может без аутентификации использовать следующие команды: команду trigger_relay для открытия двери или турникета, если терминал непосредственно управляет ими или команду terminal_reboot, чтобы вызвать отказ в обслуживании.
Для устранения уязвимости пользователи должны активировать и корректно настроить протокол TLS согласно разделу 7 Рекомендаций по безопасной установке компании IDEMIA. В одной из будущих версий прошивки IDEMIA сделает активацию TLS обязательной по умолчанию.
Уязвимости подвержены следующие устройства: MorphoWave Compact MD; MorphoWave Compact MDPI; MorphoWave Compact MDPI-M; VisionPass MD; VisionPass MDPI; VisionPass MDPI-M; SIGMA Lite (все варианты); SIGMA Lite+ (все варианты); SIGMA Wide (все варианты); SIGMA Extreme; MA VP MD.
В июле 2021 г. IDEMIA исправила три уязвимости, обнаруженные экспертами Positive Technologies.
