Crédit :CC0 Domaine public
Pour les chefs d'entreprise, l'objectif peut être de trouver un processus axé sur la technologie qui peut protéger la sécurité et la sûreté des locaux, personnel et visiteurs. Les systèmes de gestion des visiteurs peuvent non seulement effectuer des enregistrements, mais également contrôler l'accès aux zones restreintes.
« Le sympathique réceptionniste ou agent de sécurité est remplacé par des kiosques, et c'est une grosse affaire, avec des ventes qui devraient dépasser 1,3 milliard de dollars d'ici 2025, " a déclaré Daniel Crowley, qui dirige la recherche pour IBM X-Force Red. X-Force Rouge ? Ce sont des gars durs ? Dans un sens, Oui. Il s'agit d'une équipe de hackers d'IBM Security. Ils tentent des introductions par effraction. Leur travail consiste à découvrir les vulnérabilités que les attaquants criminels peuvent utiliser.
Donc, si les entreprises peuvent être intéressées à rechercher des systèmes d'enregistrement des visiteurs, alors ils feraient mieux de trouver quelque chose qui soit plus qu'un simple journal de bord numérique. Trouvent-ils ce dont ils ont besoin et leur choix est-il sûr ? X-Force Red a senti quelque chose qui ne va pas. Les attaquants peuvent voler vos données. Les attaquants peuvent usurper votre identité.
Les bornes de connexion (portails dans les entreprises et les installations) peuvent être vulnérables à l'espionnage des données. Menace n'a pas été doux dans son choix de titre :« Systèmes d'accès aux kiosques pour visiteurs criblés de bogues ».
Deux des stagiaires d'été de X-Force Red ont découvert 19 vulnérabilités non divulguées auparavant dans cinq systèmes de gestion des visiteurs populaires.
Menace contenait des informations intéressantes sur les objectifs des tests lorsque l'équipe a entrepris de tester les systèmes de gestion des visiteurs.
"Une, était à quel point il est facile de s'enregistrer en tant que visiteur sans aucune information d'identification réelle. Deuxièmement, nous avons cherché à voir à quel point il est facile d'extraire les informations d'autres personnes du système. Et troisièmement, y a-t-il un moyen pour qu'un adversaire puisse sortir de l'application, provoquer son plantage ou l'exécution de code arbitraire sur l'appareil ciblé et prendre pied pour attaquer le réseau de l'entreprise. »
Crowley a fait rapport sur les résultats de Intelligence de sécurité :Divulgation d'informations de données personnelles et d'entreprise; plusieurs applications avaient des informations d'identification administratives par défaut ; des vulnérabilités permettant à un attaquant d'utiliser des raccourcis clavier Windows et des boîtes de dialogue d'aide ou d'impression standard pour sortir de l'environnement du kiosque et interagir avec Windows, de telle sorte qu'un attaquant aurait le contrôle du système avec les mêmes privilèges que ceux accordés au logiciel.
Des incidents liés aux systèmes d'enregistrement attendent-ils de se produire ? Lily Hay Newman dans Filaire lundi a soulevé certains scénarios qui semblaient simples si une personne souhaitait faire de la malveillance. Elle a déclaré qu'"un pirate informatique pourrait facilement approcher un système de gestion des visiteurs avec un outil tel qu'une clé USB configurée pour exfiltrer automatiquement des données ou installer un logiciel malveillant d'accès à distance".
En outre, "alors que plus vite est toujours mieux pour une attaque, " elle a écrit, "Il serait relativement facile de rester debout à un kiosque d'enregistrement pendant quelques minutes sans attirer le moindre soupçon."
Filaire a déclaré lundi que les défauts trouvés par les deux hommes étaient pour la plupart corrigés.
"C'était une sorte de truc à gratter, " a déclaré Crowley dans Filaire. Si les bugs étaient détectés en quelques semaines seulement, il ajouta, il en disait "beaucoup sur ce qui pourrait se cacher d'autre sur ces systèmes cruciaux et interconnectés".
Prochaine étape :l'équipe X-Force Red a fourni des détails sur la vulnérabilité aux fournisseurs concernés "à l'avance afin de laisser le temps à un correctif officiel d'être développé et publié avant cette publication, " a déclaré Crowley. " Plusieurs des fournisseurs ont mis à jour leur logiciel ou prévoient de le faire avec des correctifs appropriés de modifications des fonctions. "
TechNadu a déclaré que certaines entreprises ont affirmé que les données des utilisateurs n'avaient jamais été en danger.
L'article de Crowley dans Intelligence de sécurité également adressé des conseils.
Le conseil inclus :Chiffrez tout. « Le chiffrement intégral du disque doit toujours être utilisé sur tout système accessible au public. » Il a déclaré que le cryptage complet du disque était déjà la norme sur les appareils iOS. Aussi, il a dit que si l'accès au réseau n'est pas requis pour que le système de gestion des visiteurs fonctionne, il ne doit pas être connecté au réseau.
© 2019 Réseau Science X