自动化不只在产线上,连一般办公大楼的门禁和访客识别证,也用机器取代人力处理。但资安厂商却发现,这些门禁和访客发卡资讯站系统,有漏洞泄漏使用者个资,或者不小心让骇客能绕过去取得系统权限。
IBM X-Force 成员在 Security Intelligent 发布这次发现,IBM X-Force Red 检视 Jolly Technologies、HID Global、Threshold Security、Envoy,以及 The Receptionist 五家访客资讯站系统,发现总共有 19 个零时漏洞,共有三大类潜在威胁:资料外泄、获得系统权限、利用 Windows 快速键和说明选单取得整个系统环境权限。
资料外泄,骇客取得内部员工或是访客清单。像是知道某家公司 CEO 天天来拜访,对于商业间谍来讲是相当宝贵的资讯,能加以利用假装是这位 CEO 骗过系统进入公司,窃取商业机密。
IBM X-Force Red 并没有检验实体发证的部分,因为实体发证的部分漏洞更多,相当容易欺骗管制人员。或者像影剧作品常常演出的侵入情境,背着伸缩梯假装是维修人员,轻易进入办公区。由于访客机的特性,心怀不轨的人很容易站在访客机很长一段时间,假装要拜访客户操作机器,实际上是偷取访客机中储存的出入人士名单。
对于不肖人士来说,他们可以透过访客机的实体 UBS 孔,插入 UBS 植入恶意程式,取得系统主控权。或者没 USB 的实体孔,运用 Windows 快速键,迅速控制系统。
目前被指有漏洞的访客系统,都已经修补完毕,或者计划要上修补。根据 MarketResearch.com 的研究调查,全球的访客系统将从 2018 年的 8 亿 2,400 万美元的规模,成长为 2025 年 13 亿美元的规模。
- Data leaks, default passwords exposed in visitor management systems
- The Overlooked Security Threat of Sign-In Kiosks
- IBM interns find 19 vulnerabilities in corporate check-in systems
(首图来源:Shaw Air Force Base)
