В платформе управления доступом Prima FlexAir обнаружены критические уязвимости

Агентство США по кибербезопасности (CISA) предупредило о множественных опасных уязвимостях в системе контроля и управления доступом FlexAir от Prima Systems, эксплуатация которых предоставляет злоумышленнику полный доступ системе управления домом.

FlexAir — система контроля и управления доступом к таким компонентам, как лифты, дверные замки, ворота парковки, почтовые ящики и пр.

Уязвимости затрагивают версии FlexAir 2.3.38 и ниже. Их эксплуатация позволяет злоумышленнику выполнять команды на операционной системе, загружать вредоносные файлы, выполнять действия с правами администратора, выполнять произвольный код в браузере, получить доступ к учетным данным для входа в систему, а также обойти аутентификацию.

Самой опасной является уязвимость внедрения команд (CVE-2019-7670), получившая оценку в 10 баллов по шкале CVSS. Эксплуатация уязвимости (CVE-2019-7669), связанной с неправильной проверкой расширений файлов при загрузке, позволяет удаленному авторизированному злоумышленнику загружать и запускать вредоносное ПО в web-приложении с правами суперпользователя. Уязвимость получила оценку в 9,1 балла по шкале CVSS.

Также были обнаружены уязвимости, связанные с механизмом аутентификации, в том числе возможность авторизации с использованием хэша пароля (CVE-2019-7666 - CVSS) и наличие вшитых учетных данных в web-интерфейсе (CVE-2019-7672).

Приложение также создает резервные копии базы данных с предсказуемым именем (CVE-2019-7667), позволяя злоумышленнику идентифицировать БД методом брутфорса, а затем загрузить их и получить доступ к учетным данным, и таким образом к системе.

В числе прочих уязвимостей обнаружены проблемы подделки межсайтовых запросов (CVE-2019-7281), а также XSS-уязвимость (CVE-2019-7671), позволяющая выполнить код в браузере.

Компания Prima Systems исправила данные уязвимости, выпустив версию FlexAir 2.5.12.