据外媒报道,被公立院校、 *** 、以及财富 500 强企业广泛使用的 PremiSys 门禁系统,近日被曝出存在硬编码后门。其实早在去年年底的时候,Tenable Research 的一安全分析师,就已经在一套名为 PremiSys IDenticard 的访问控制系统中,发现了一个硬编码的后门。该软件用于未员工创建身份识别信息(ID badges)和远程管理读卡器,以便对建筑内各个部分的访问权限进行管理。
Tenable Research 的 James Sebree 指出,IDenticard 的 PremiSys 3.1.190 版本,包含了一个允许攻击者访问管理功能的后门,让它能够在系统中添加、编辑和删除用户,分配权限、并控制建筑物内的读卡器。
PremiSys 基于 .Net 框架构建,因此 Sebree 能够借助 Jetbrain 的“dotPeek”.Net 反编译器,对该软件进行逆向工程。
发现漏洞后,Sebree 多次通知 IDenticard、并试图取得联系,但直到 45 天过去,该公司还是无动于衷。无奈之下,Sebree 选择向计算机紧急响应小组(CERT)通报此事。
遗憾的是,尽管 CERT 尝试与 IDenticard 联系,但 90 天后,该公司仍未作出回应。事已至此,他们只得公开披露相关漏洞。
鉴于未能访问系统的物理组件,因此 Tenable 只是简单描述了这款应用程序的服务流程。
PremiSys 中的身份验证例程,包含一个名叫 IgnoreAuthentication()的函数。只要使用硬编码凭证,此命令就能够完全按照它所说的那样去执行。
由于 IDenticard 的软件被广泛使用,因此漏洞的波及面相当之广。
该公司的称,其为财富 500 强企业、K-12 学校、各大院校、医疗中心、工厂,甚至地级、州级和联邦 *** 机构与办事处所采用。
鉴于这是一个硬编码的漏洞,因此必须 IDenticard 自行修补。然而截止发稿时,该公司仍未就此事作出回应。
稿源:cnBeta,封面源自 *** ;
Facebook动态消息(News Feed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。 虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处...
俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询...
近日,我们在 Twitter 和 Reddit 等平台上见到了不少系统管理员报告,可知问题主要集中在被 Microsoft Defender for Endpoint 安全防护软件标记为“可疑”的 Google Chrome 更新上。由于谷歌更新服务(GoogleUpdate.exe)没有给“goo...
反病毒软件主要根据各种病毒特征进行预防、隔离等操作,但有时候也会出现误杀的情况。UserBenchmark 就是最新案例。根据 VirusTotal,这个流行的免费基准测试工具已被近二十个网站标记为恶意软件。 UserBenchmark 是一个轻量级的免费软件,可以测试你的 CPU、GPU、内...
在英国,购买比特币最简单、最匿名的方式之一是前往选定的商店,使用比特币自动取款机,你只需存入现金,然后将比特币发送到你的比特币钱包。英国金融行为监管局(FCA)现在正命令经营这些自动取款机的公司关闭它们,因为它们没有实施旨在防止洗钱的KYC措施。 要在英国运营,加密货币自动取款机应在FCA注册,并...
4月6日消息,安全公司Kryptowire警告说,三星的各种设备都容易受到重大安全漏洞的影响,该漏洞允许黑客接管设备。Kryptowire制作移动应用安全测试(MAST),这是一种扫描漏洞以及安全和隐私问题的工具。 据该公司称,它发现了一个漏洞(CVE-2022-22292),该漏洞可能允许黑客采...