В ходе аудита сетевой безопасности в 2019 году компания Acronis, специализирующаяся в области кибербезопасности, обнаружила критические уязвимости в устройствах, производимых биометрической компанией GeoVision, сообщает компания по безопасности, которая почти год ждет, пока разработчик исправит недостатки.
Компания по безопасности заявляет, что нашла бэкдор-пароль с правами администратора, и утверждает, что GeoVision повторно использует криптографические ключи и раскрывает закрытые ключи. Эти недостатки могут привести к перехвату трафика злоумышленниками. Исследование было проведено Acronis CISO Кевином Ридом и исследователями безопасности Алексом Кошелевым и Равикантом Тивари.
Уязвимости были обнаружены в сканерах отпечатков пальцев, сканерах карт доступа и устройствах управления доступом, распространенных во многих странах. Эти устройства видны на Shodan расположены в Бразилии, США, Германии, Тайване и Японии.
Основные технические выводы включают недокументированные жестко запрограммированные пароли, которые облегчают доступ к устройству с правами root, общие криптографические ключи в микропрограмме, которые допускают атаки на устройство типа «человек посередине», уязвимы к переполнению буфера, допускают несанкционированное манипулирование кодом без предварительной аутентификации, и уязвимы к раскрытию информации, которой хакеры могут манипулировать для чтения системных журналов.
Acronis проинформировал GeoVision об уязвимостях в августе 2019 года, а затем в сентябре о 90-дневном периоде вежливости. Два месяца спустя Acronis сообщил об уязвимостях в Singapore Computer Emergency Response Team (SingCERT). SingCERT и тайваньская TWCERT запросили месячную отсрочку в обнародовании уязвимостей.
Почти год спустя, в июне 2020 года, были исправлены три уязвимости, но критическая уязвимость нулевого дня, связанная с переполнением буфера, все еще активна, и обновление встроенного программного обеспечения отсутствует. Хакеры могут переполнить буфер памяти и манипулировать им, чтобы подделать устройство, переписывая протоколы и команды.
Акронис говорит, что GeoVision не прокомментировал и не подтвердил эти выводы.
По материалам Biometrics Research Group. Автор Luana Pascu.
