Тайваньский GeoVision исправил критические уязвимости в своих сканерах отпечатков пальцем

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 28 Jun 2020.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    169
    Likes Received:
    550
    Reputations:
    5
    GeoVision, тайваньский производитель сканеров отпечатков пальцев, контроля доступа и наблюдения, исправил критические уязвимости в своих устройствах, которые могли быть использованы злоумышленниками и спецслужбами.

    Напомню, что во время аудита безопасности сети в прошлом году Acronis обнаружил многочисленные уязвимости в устройствах GeoVision, которые могут позволить пользователям получить полный и несанкционированный доступ к камерам.

    Обнаруженные в ходе аудита уязвимые места в критически важных устройствах, таких как биометрические сканеры отпечатков пальцев, камеры наблюдения и другие IoT для обеспечения безопасности, могут использоваться злоумышленниками и спецслужбами для скрытого перехвата трафика и ведения шпионажа.

    В своём отчете Acronis исследователи раскрывают многочисленные уязвимости в оборудовании для наблюдения GeoVision и сканерах отпечатков пальцев.

    «Команда безопасности Acronis обнаружила четыре критических уязвимости в устройствах GeoVision, в том числе недокументированный секретный пароль с правами администратора, повторное использование криптографических ключей и раскрытие секретных ключей для всех. Все эти уязвимости могут позволить злоумышленникам, спонсируемым государством, перехватить потенциальный трафик

    CVE, опубликованные Acronis, включают CVE-2020-3928, CVE-2020-3930 и CVE-2020-3929 и были обнаружены в сканерах отпечатков пальцев, сканерах карт доступа и устройствах управления доступом, используемых во всем мире.

    По крайней мере шесть моделей устройств GeoVision были подтверждены Acronis как уязвимые.

    Кроме того, поскольку популярные поисковые системы IoT, такие как Censys.io и Shodan, регулярно сканируют Интернет на наличие общедоступных устройств, злоумышленники могут использовать уязвимые устройства GeoVision, чтобы открывать двери без карточек-ключей, шпионить за пользователями или даже украсть отпечатки пальцев.

    «Используя эти уязвимости, злоумышленники могут удаленно открывать двери без карточек-ключей, устанавливать троянские программы на этих устройствах, расшаривать их в сети, шпионить за внутренними пользователями и красть отпечатки пальцев и другие данные - и всё это может никогда не обнаружиться» - отметил Акронис.

    Поисковый запрос Shodan («WYM / 1.0»), предоставленный Acronis, показывает, что более 2600 уязвимых устройств подключены к Интернету.

    Уязвимости, затрагивающие эти устройства, включают в себя:

    1. A hardcoded "root" password
    Обычно устройства IoT поставляются с жестко заданным паролем по умолчанию (например, admin: admin или admin: пароль), однако, как правило, руководства пользователя документируют его и советуют пользователю изменить его. пароль. Однако, по сообщениям, устройства GeoVision нигде не документировали этот пароль. Более того, доступ к встроенному URL-адресу «/isshd.htm» на устройстве может активировать SSH-сервер Dropbear на порту 8009, который затем может быть использован злоумышленником с использованием учетных данных по умолчанию.

    «Пароль не документирован, что подвергает клиентов неизвестному риску. По умолчанию сервер ssh не работает на устройстве, однако в интерфейсе управления устройством есть скрытый URL-адрес [https: //%3cip.of.the.device%3e/isshd.htm]. При обращении к этому URL-адресу Dropbear ssh будет запущен на порту 8009»

    2. Shared cryptographic keys
    Шифрование бесполезно, если известны закрытые ключи в типичной реализации PKI. В случае GeoVision встроенное программное обеспечение, доступное для загрузки с веб-сайта производителя, показало наличие жестко закодированных открытых и закрытых ключей. Эти открытые ключи могут включать атаки «человек в середине» (MitM) для соединений HTTPS и SSH с устройством.

    Хранение закрытых ключей в прошивке не является чем-то уникальным для устройств GeoVision. Маршрутизаторы, интеллектуальные принтеры и IoT хранят закрытые ключи в прошивках целую вечность по необходимости. Это часто считается «компромиссом безопасности» из-за самозаверяющих сертификатов на устройствах для страниц администрирования.

    3. Buffer Overflow
    В некоторых моделях существует уязвимость переполнения буфера из-за уязвимой программы под названием «port80», связанной с устройством. В случае использования злоумышленники могут использовать эту уязвимость для выполнения произвольного кода на устройствах без аутентификации.

    «Уязвимой программой является / usr / bin / port80 в прошивке (SHA256: 5B531E50CFA347BBE3B9C667F8D802CDECC6B1CD270719DAC5ECE4CE33696D3A). Мы предоставили код PoC и демонстрационное видео для этой уязвимости в SingCERT».
    [​IMG]

    4. Log exposure
    В некоторых моделях доступ к URL-адресам «/messages.txt» и «/messages.old.txt» на уязвимом устройстве предоставляет доступ к данным файла журнала без проверки подлинности. Открытые журналы могут раскрыть потенциально конфиденциальную информацию для противников.

    «Системные журналы доступны без аутентификации на [http: //%3cip.of.the.device%3e/messages.txt] и на [http: //%3cip.of.the.device%3e/messages.old. txt], который позволяет злоумышленникам читать системные журналы, что помогает в дальнейшем планировании атак ».

    GeoVision
    выпустила патчи, закрывающие 3 из 4 найденных уязвимостей, спустя 10 месяцев после их обнаружения, несмотря на то, что Acronis впервые уведомил GeoVision об этих уязвимостях в августе 2019 года, и только спустя десять месяцев эти уязвимости были устранены.

    Эти временные рамки не особенно впечатляют, учитывая критический характер уязвимостей и тот факт, что клиенты GeoVision используют эти устройства для защиты своих сред.

    «Когда производитель безопасности узнает о критических уязвимостях в своих устройствах, ожидается, что они быстро предпримут действия для решения проблемы. Тем не менее, август 2019 года стал первым из многих месяцев, когда Acronis терпеливо ждал обновления (как оказалось, напрасно) от одного производителя », - говорится в сообщении в блоге.

    Даже сегодня из четырех критических уязвимостей, о которых сообщает Acronis, производитель исправил только три.

    «На прошлой неделе TWCERT подтвердил наличие новой версии (v. 1.22) - но мы все еще не видим обновлений прошивки, выпущенных на веб-сайте GeoVision».

    Учитывая, что эти уязвимости могут быть использованы для обхода контроллеров безопасности, их неправильное использование может нанести ущерб самим системам, для защиты которых они предназначены:

    «Данные отпечатков пальцев могут быть использованы для входа в ваш дом и разблокирования личных устройств. Злоумышленники могут легко повторно использовать фотографии для кражи личных данных на основе биометрических данных. Злоумышленники могут также продавать доступ к любым дверям, защищенным этими устройствами, предлагая бесплатный доступ к ним дома или на работе ", - предупредил Акронис в своем отчете.

    Это всего лишь несколько примеров того, как системы безопасности и общественной безопасности могут использоваться преступниками и спецслужюами для достижения противоположных целей с помощью этих мер безопасности.

    При выборе производителя устройств криптозащиты необходимо учитывать, что тщательный аудит безопасности, наряду с последовательной историей исправлений, продемонстрированной производителем (или ее отсутствием), может рассказать всю историю.

     
    #1 alexzir, 28 Jun 2020
    Last edited: 28 Jun 2020
    seostock likes this.
Loading...