Уязвимости в устройствах биометрической идентификации

В списке угроз — обход биометрической идентификации, проникновение на охраняемую территорию.

IDEMIA, мировой лидер в области надежной идентификации, выпустила обновленную прошивку.

Компания исправила три уязвимости, обнаруженные экспертами Positive Technologies Натальей Тляповой, Сергеем Федониным, Владимиром Кононовичем и Вячеславом Москвиным.

Одна из уязвимостей оказалась критически опасной. Ошибки выявлены в прошивке устройств IDEMIA серий MoprhoWave, VisionPass, SIGMA, MorphoAccess, которые предназначены для организации контроля доступа с помощью биометрической идентификации.

Используя эти уязвимости, злоумышленник может получить доступ к удаленному выполнению команд, вызвать отказ в обслуживании устройства, а также производить на нём чтение и запись произвольных файлов.

Первый недостаток безопасности CVE-2021-35522 (оценка 9,8 по шкале CVSS v3, критическая степень риска) может позволить злоумышленнику удаленно выполнить произвольный код. Ошибка относится к классу «переполнение буфера» и связана с отсутствием проверки длины входных данных, полученных из сетевого пакета протокола Thrift.

«Эксплуатация этой уязвимости позволяет обойти биометрическую идентификацию, которую обеспечивают перечисленные выше устройства IDEMIA. В результате атакующий может, например, удаленно открыть двери, контролируемые устройством, и проникнуть на охраняемую территорию», — рассказывает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Вторая уязвимость CVE-2021-35520 (оценка 6,2) связана с переполнением в куче обработчика последовательного порта. При наличии физического доступа к последовательному порту имеется возможность вызвать отказ в обслуживании устройства.

Третья уязвимость CVE-2021-35521 (оценка 5,9) относится к классу «выход за пределы директории». Ошибка позволяет читать и записывать произвольные файлы. Эти возможности позволяют реализовать несанкционированное выполнение привилегированных команд на устройстве.

Для устранения возможности эксплуатации выявленных уязвимостей необходимо установить последнюю версию прошивки, доступную на официальном сайте IDEMIA.

 

Похожие записи