Voor bedrijfsleiders, het doel kan zijn om een ​​technologiegedreven proces te vinden dat de beveiliging en veiligheid van het pand kan beschermen, personeel en bezoekers. Bezoekersbeheersystemen kunnen niet alleen check-ins uitvoeren, maar ook de toegang tot beperkte gebieden controleren.

"De vriendelijke receptioniste of bewaker wordt vervangen door kiosken, en het is big business, met een verwachte omzet van meer dan $ 1,3 miljard in 2025, "zei Daniël Crowley, die het onderzoek leidt voor IBM X-Force Red. X Force Rood? Zijn dit stoere jongens? In zekere zin, Ja. Dit is een team van hackers in IBM Security. Ze proberen wel in te breken. Het is hun werk om kwetsbaarheden te ontdekken die criminele aanvallers kunnen gebruiken.

Dus, als bedrijven mogelijk geïnteresseerd zijn in het zoeken naar inchecksystemen voor bezoekers, dan kunnen ze maar beter iets vinden dat meer is dan alleen een digitaal logboek. Vinden ze wat ze nodig hebben en is hun keuze veilig? X-Force Red heeft iets verkeerds geroken. Aanvallers kunnen uw gegevens stelen. Aanvallers kunnen zich voordoen als u.

Inlogkiosken (portals bij bedrijven en faciliteiten) kunnen kwetsbaar zijn voor gegevensspionage. Dreigingspost was niet zachtaardig in de keuze van de kop:"Bezoekerskiosktoegangssystemen bezaaid met bugs."

Twee van de X-Force Red-zomerstagiairs vonden 19 voorheen niet bekendgemaakte kwetsbaarheden in vijf populaire bezoekersbeheersystemen.

Dreigingspost bevatte interessante informatie over wat de testdoelen waren toen het team de bezoekersbeheersystemen ging testen.

"Een, was hoe gemakkelijk het is om als bezoeker ingecheckt te worden zonder enige vorm van echte identificerende informatie. Ten tweede, we gingen op zoek hoe gemakkelijk het is om de informatie van anderen uit het systeem te halen. En ten derde, is er een manier waarop een tegenstander uit de applicatie kan ontsnappen, ervoor zorgen dat het crasht of dat willekeurige code-uitvoering op het doelapparaat wordt uitgevoerd en voet aan de grond krijgt om het bedrijfsnetwerk aan te vallen."

Crowley rapporteerde over bevindingen in BeveiligingIntelligentie :openbaarmaking van informatie over persoonlijke en bedrijfsgegevens; verschillende applicaties hadden standaard beheerdersreferenties; kwetsbaarheden waardoor een aanvaller Windows-sneltoetsen en standaard help- of afdrukdialogen kan gebruiken om uit de kioskomgeving te breken en met Windows te communiceren, zodanig dat een aanvaller controle over het systeem zou hebben met dezelfde privileges als de software was gegeven.

Wachten er nog enkele incidenten met inchecksystemen? Lily Hay Newman in Bedrade op maandag kwamen enkele scenario's naar voren die ongecompliceerd leken als iemand kwaadwillendheid wilde bedrijven. Ze zei dat "een hacker gemakkelijk een bezoekersbeheersysteem kan benaderen met een tool zoals een USB-stick die is ingesteld om automatisch gegevens te exfiltreren of malware voor externe toegang te installeren."

In aanvulling, "Terwijl sneller altijd beter is voor een aanval, " zij schreef, "Het zou relatief eenvoudig zijn om een ​​paar minuten bij een inlogkiosk te staan ​​zonder argwaan te wekken."

Bedrade zei maandag dat de gebreken die de twee vonden grotendeels waren verholpen.

"Dit was een soort van scratch-the-surface soort dingen, " zei Crowley in Bedrade. Als de bugs binnen een paar weken werden gezien, hij voegde toe, het zei "veel over wat er nog meer op de loer ligt op deze cruciale en onderling verbonden systemen."

Wat nu volgt:Het X-Force Red-team heeft kwetsbaarheidsdetails van tevoren aan de getroffen leveranciers verstrekt om tijd te geven voor het ontwikkelen en vrijgeven van een officiële oplossing voorafgaand aan deze publicatie, "Zei Crowley. "Verschillende leveranciers hebben hun software geüpdatet of zijn van plan om de juiste patches van functiewijzigingen toe te passen."

TechNadu zei dat sommige bedrijven beweerden dat gebruikersgegevens nooit in gevaar waren.

Crowley's artikel in BeveiligingIntelligentie ook advies gegeven.

Het advies omvatte:versleutel alles. "Full-disk encryptie moet altijd worden gebruikt op elk systeem dat toegankelijk is voor het publiek." Hij zei dat volledige schijfversleuteling al de norm was op iOS-apparaten. Ook, hij zei dat als netwerktoegang niet vereist is om het bezoekersbeheersysteem te laten functioneren, het mag niet op het netwerk zijn aangesloten.

© 2019 Wetenschap X Netwerk