鑒于這是一個硬編碼的漏洞�,因此必須 IDenticard 自行修補(bǔ)���。然而截止發(fā)稿時����,該公司仍未就此事作出回應(yīng)
根據(jù)外媒的報道,被公立院校���、政府�、以及財富 500 強(qiáng)企業(yè)廣泛使用的PremiSys
門禁系統(tǒng)����,近日被曝出存在硬編碼后門����。不過,這并不是PremiSys 門禁系統(tǒng)首次被爆出存在安全問題���。
早在去年年底���,Tenable Research 的一安全分析師就已經(jīng)在一套名為 PremiSys IDenticard
的訪問控制系統(tǒng)中,發(fā)現(xiàn)了一個硬編碼的后門�。該軟件用于未員工創(chuàng)建身份識別信息(ID
badges)和遠(yuǎn)程管理讀卡器,以便對建筑內(nèi)各個部分的訪問權(quán)限進(jìn)行管理�。
Tenable Research 的安全分析師指出,IDenticard 的 PremiSys 3.1.190
版本�����,包含了一個允許攻擊者訪問管理功能的后門,讓它能夠在系統(tǒng)中添加��、編輯和刪除用戶�����,分配權(quán)限�、并控制建筑物內(nèi)的讀卡器。由于PremiSys 基于.Net
框架構(gòu)建�����,因此 Sebree 能夠借助 Jetbrain 的“dotPeek”.Net 反編譯器�,對該軟件進(jìn)行逆向工程。
發(fā)現(xiàn)漏洞后�����,Sebree 多次通知 IDenticard���、并試圖取得聯(lián)系����,但直到 45 天過去,該公司還是無動于衷�����。無奈之下����,Sebree
選擇向計算機(jī)緊急響應(yīng)小組(CERT)通報此事。遺憾的是�,盡管 CERT 嘗試與 IDenticard 聯(lián)系,但 90
天后���,該公司仍未作出回應(yīng)。事已至此�,他們只得公開披露相關(guān)漏洞。
鑒于未能訪問系統(tǒng)的物理組件����,因此 Tenable 只是簡單描述了這款應(yīng)用程序的服務(wù)流程。
PremiSys 中的身份驗證例程����,包含一個名叫
IgnoreAuthentication()的函數(shù)。只要使用硬編碼憑證,此命令就能夠完全按照它所說的那樣去執(zhí)行��。由于 IDenticard
的軟件被廣泛使用��,因此漏洞的波及面相當(dāng)之廣��。
該公司的網(wǎng)站稱�����,其為財富 500 強(qiáng)企業(yè)�、K-12 學(xué)校、各大院校�、醫(yī)療中心、工廠����,甚至地級、州級和聯(lián)邦政府機(jī)構(gòu)與辦事處所采用�����。
鑒于這是一個硬編碼的漏洞���,因此必須 IDenticard 自行修補(bǔ)����。然而截止發(fā)稿時,該公司仍未就此事作出回應(yīng)��。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意�����。如您是字體廠商���、圖片文字廠商等版權(quán)方�����,且不允許本站使用您的字體和圖片文字等素材,請聯(lián)系我們��,本站核實(shí)后將立即刪除����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�,將不予任何的法律和經(jīng)濟(jì)賠償!敬請諒解���!
粵公網(wǎng)安備 44030402000264號