Специалисты по кибербезопасности из американской компании Tenable нашли довольно курьезную уязвимость в системе контроля доступа PremiSys отIDenticard, благодаря чему хакеры могут перехватить управление приложением (и, например, заблокировать все двери в небоскребе).
Дело в том, что когда эксперты Tenable изучили исходный код программы PremiSys, они обнаружили там вшитые учетные данные администратора (!) и пароли для открытия резервных копий базы данных. Пользовательская информация была зашифрована ненадежным методом, а связаться с создателями ПО экспертам не удалось (какие уж там обновления!)
Система PremiSys предназначена для управления входными группами и предоставляет владельцу здания возможность дистанционно контролировать состояние дверей, автоматически открывать и закрывать их, а также обеспечивать доступ в помещения при помощи идентификационных карт-ключей.
Преподнесенные на блюдечке данные были зашиты в компонент PremiSysWCFService, отвечающий за сбор и управление сводной информацией о зарегистрированных пользователях, подключенных дверях и других объектах. В его коде содержались логин и пароль от аккаунта администратора (изменить их нельзя). Авторизовавшись при помощи этих учетных данных, злоумышленник сможет создавать новых пользователей, управлять разрешениями уже выпущенных карт доступа, а также выполнять ряд других действий, требующих повышенных привилегий.
Единственный способ уменьшения угрозы – ограничение доступа к уязвимому модулю. Брешь получила идентификатор CVE-2019-3906. Попутно специалисты выяснили, что службы IDenticard устанавливаются с активированными паролями по умолчанию, которые можно изменить, только отправив специальный запрос разработчику. (который игнорирует любые запросы).
Подобный «забытый в теле пациента инструмент», кстати, не редкость: в конце прошлого года ИБ-специалисты нашли жестко закодированный пароль в прошивке системы наблюдения Guardzilla. Учетные данные предназначались для входа в облачное хранилище, где находились видеофайлы пользователей устройства. В том случае права были разграничены неправильно, и вшитый пароль давал возможность получить доступ к данным всех владельцев камер этого производителя (!).
Читайте на АКБ также о других выдающихся уязвимостях, собранных нами в 2018 году:
В Facebook нашли уязвимость, открытую для червей: компанию это не беспокоит
Атака клонов: 500 миллионов умных устройств уязвимы для атаки DNS rebinding
Отдышалось немного и хакнуто вновь: кардиостимуляторы уязвимы для удаленного взлома
XSS-уязвимость в Evernote приглашала войти в вашу Windows любого желающего
