Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

De multiples vulnérabilités zéro day découvertes par Tenable Research dans les technologies d’accès aux bâtiments

janvier 2019 par Renaud Deraison, co-founder and chief technology officer, Tenable

Tenable®, la société de Cyber Exposure, annonce avoir découvert plusieurs vulnérabilités du système de contrôle d’accès PremiSys™ développé par IDenticard. Lorsqu’elle est exploitée, la vulnérabilité la plus grave donne à l’attaquant un libre accès à la base de données du système de badges, ce qui lui permet d’entrer clandestinement dans les bâtiments en créant des badges frauduleux et en désactivant les serrures des bâtiments. D’après les informations disponibles sur son site Web, IDenticard compte des dizaines de milliers de clients dans le monde entier, y compris des entreprises Fortune 500, des écoles primaires et secondaires, des universités, des centres médicaux et des agences gouvernementales.

Aujourd’hui, toute entreprise dispose d’une infrastructure numérique extrêmement complexe composée à la fois d’actifs classiques et récents – depuis les postes de travail, les serveurs sur site jusqu’aux systèmes de sécurité des bâtiments et aux dispositifs intelligents. Ce niveau de complexité a rendu de plus en plus difficile pour les équipes de sécurité d’établir des réseaux sécurisés dans des environnements d’entreprises en perpétuelle évolution. Les " zero-days " de PremiSys nous rappellent avec force que l’adoption massive des technologies émergentes a rapidement brouillé les frontières entre la sécurité physique et numérique. Cette découverte survient quelques mois à peine après que Tenable Research ait découvert une autre faille appelée Peekaboo, dans des logiciels de vidéosurveillance déployés à l’international.

La technologie PremiSys permet aux clients d’accorder et de restreindre l’accès aux portes, aux installations de verrouillage et à la vidéosurveillance. Une fois exploitée, la faille la plus grave donnerait aux cybercriminels l’accès à l’ensemble de la base de données du système de badges via le terminal de service PremiSys Windows Communication Foundation (WCF). En utilisant les privilèges d’administrateur, les attaquants peuvent effectuer différentes actions comme télécharger le contenu intégral de la base de données du système, modifier son contenu ou supprimer des utilisateurs.

"L’ère numérique a rapproché les mondes cybernétique et physique grâce, en partie, à l’adoption de l’IoT. La sécurité d’une organisation ne repose plus sur un pare-feu, des sous-réseaux ou un périmètre physique – elle n’a maintenant plus de frontières. C’est pourquoi il est essentiel que les équipes de sécurité aient une visibilité complète sur l’endroit où elles sont exposées et dans quelle mesure ", a déclaré Renaud Deraison, co-fondateur et directeur de la technologie chez Tenable. "Malheureusement, de nombreux fabricants d’IoT ne comprennent pas toujours les risques des logiciels non corrigés, laissant les consommateurs et les entreprises vulnérables à une cyberattaque. Dans ce cas, les organisations qui utilisent PremiSys pour le contrôle d’accès courent un risque énorme car les correctifs ne sont pas disponibles. Au-delà de cette problématique spécifique, l’industrie de la sécurité a besoin d’un dialogue plus large sur les systèmes embarqués et leur maintenance dans le temps. La complexité de l’infrastructure numérique ainsi que sa maintenance augmentent. Les fournisseurs doivent s’engager à livrer les correctifs de sécurité en temps opportun et de façon entièrement automatisée. Tenable Research s’engage à collaborer avec les fournisseurs qui le souhaite pour coordonner les diffusions afin d’assurer la sécurité des consommateurs et des organisations. La collaboration de l’industrie est essentielle pour aider les clients à gérer, mesurer et réduire leur exposition."

Tenable Research a divulgué les vulnérabilités (CVE-2019-3906, CVE-2019-3907, CVE-2019-3908, CVE-2019-3908, CVE-2019-3909), qui affectent la version 3.1.190 chez IDenticard selon les procédures standard décrites dans sa politique de diffusion de vulnérabilité. L’équipe a tenté à plusieurs reprises de communiquer avec le fournisseur. Le 19 novembre, Tenable a informé le CERT de cette vulnérabilité. Pour réduire les risques, les utilisateurs doivent segmenter leur réseau afin de s’assurer que les systèmes comme PremiSys sont isolés autant que possible des menaces internes et externes.


Voir les articles précédents

    

Voir les articles suivants