Уязвимости в системе управления доступом к зданиям PremiSys позволяют отключить функции контроля

Уязвимости в системе управления доступом к зданиям PremiSys позволяют отключить функции контроля

Производитель системы, компания IDenticard не намерена выпускать исправление.

Исследователи компании Tenable обнаружили в карточной системе контроля доступа к зданиям PremiSys от IDenticard четыре уязвимости, позволяющие злоумышленникам ее взломать. Tenable и US-CERT уведомили IDenticard о проблеме, однако производитель проигнорировал все сообщения и не выпустил обновления безопасности. В связи с этим исследователи решили в открытом доступе опубликовать подробности об уязвимостях.

Самой опасной из обнаруженных уязвимостей является CVE-2019-3906. Как пояснили исследователи, система PremiSys имеет неизменяемые учетные данные администратора (логин IISAdminUsr и пароль Badge1). «Пользователи не могут изменить эти учетные данные. Единственный способ обойти проблему – ограничить трафик к этой конечной точке, что может или не может повлиять на доступность приложения», – пишут исследователи.

Если серверы PremiSys подключены к интернету, злоумышленник может воспользоваться учетными данными администратора для доступа к системе управления карточками и предоставить поддельную карточку или полностью отключить функции контроля.

CVE-2019-3907 – учетные данные пользователя и другая конфиденциальная информация зашифрованы с помощью ненадежного алгоритма шифрования (MD5-хэш зашифрованный с помощью Base64 – соль + пароль).

CVE-2019-3908 – резервные копии IDenticard хранятся в защищенном паролем файле ZIP. Пароль – ID3nt1card.

CVE-2019-3909 – сервис IDenticard устанавливается с учетными данными для базы данных по умолчанию (логин PremisysUsr, пароль ID3nt1card). Есть также инструкция по использованию более длинных паролей, например, ID3nt1cardID3nt1card. Для того чтобы изменить учетные данные, пользователи должны отправить производителю свой собственный пароль, чтобы получить его зашифрованную версию, подходящую для использования в их конфигурации.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться