В списке угроз — обход биометрической идентификации, проникновение на охраняемую территорию.
IDEMIA, мировой лидер в области надежной идентификации, выпустила обновленную прошивку.
Компания исправила три уязвимости, обнаруженные экспертами Positive Technologies Натальей Тляповой, Сергеем Федониным, Владимиром Кононовичем и Вячеславом Москвиным.
Одна из уязвимостей оказалась критически опасной. Ошибки выявлены в прошивке устройств IDEMIA серий MoprhoWave, VisionPass, SIGMA, MorphoAccess, которые предназначены для организации контроля доступа с помощью биометрической идентификации.
Используя эти уязвимости, злоумышленник может получить доступ к удаленному выполнению команд, вызвать отказ в обслуживании устройства, а также производить на нём чтение и запись произвольных файлов.
Первый недостаток безопасности CVE-2021-35522 (оценка 9,8 по шкале CVSS v3, критическая степень риска) может позволить злоумышленнику удаленно выполнить произвольный код. Ошибка относится к классу «переполнение буфера» и связана с отсутствием проверки длины входных данных, полученных из сетевого пакета протокола Thrift.
«Эксплуатация этой уязвимости позволяет обойти биометрическую идентификацию, которую обеспечивают перечисленные выше устройства IDEMIA. В результате атакующий может, например, удаленно открыть двери, контролируемые устройством, и проникнуть на охраняемую территорию», — рассказывает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.
Вторая уязвимость CVE-2021-35520 (оценка 6,2) связана с переполнением в куче обработчика последовательного порта. При наличии физического доступа к последовательному порту имеется возможность вызвать отказ в обслуживании устройства.
Третья уязвимость CVE-2021-35521 (оценка 5,9) относится к классу «выход за пределы директории». Ошибка позволяет читать и записывать произвольные файлы. Эти возможности позволяют реализовать несанкционированное выполнение привилегированных команд на устройстве.
Для устранения возможности эксплуатации выявленных уязвимостей необходимо установить последнюю версию прошивки, доступную на официальном сайте IDEMIA.