在2019年的網絡安全審核期間,網絡安全公司Acronis檢測到生物識別公司Geovision製造的設備中的關鍵漏洞,報告安全公司一直在等待該公司修補差距近一年。
該安全公司表示,它找到了帶有管理員特權的後門密碼,並聲稱Geovision重新使用加密密鑰並披露了私鑰。這些缺陷可以通過國家贊助的攻擊者攔截交通攔截。這項研究由Acronis Ciso Kevin Reed以及安全研究人員Alex Koshelev和Ravikant Tiwari進行。
在指紋掃描儀,訪問卡掃描儀以及在多個國家 /地區分佈的訪問管理設備中發現了這些漏洞。這些設備是在Shodan上可見位於巴西,美國,德國,台灣和日本。
關鍵的技術發現包括無證件的硬編碼密碼,這些密碼可輕鬆訪問具有根特權的設備,在固件中共享加密密鑰,這些密碼可將設備暴露於中間攻擊中的設備,一種可以操縱的緩衝區溢出脆弱性,可以操縱該設備,可以通過未經授權的代碼運行未經授權的代碼,而無需事先地真誠,並可以公開漏洞,以使您可以讀取系統。
Acronis向Geovision通報了2019年8月的漏洞,然後在9月大約90天的禮貌期。兩個月後,Acronis向新加坡計算機應急小組(Singcert)報告了漏洞。 Singcert和Taiwan的Twcert要求在公開漏洞的情況下延遲一個月的延遲。
大約一年後,即2020年6月,修補了三個漏洞,但關鍵的緩衝區溢出零日“可煩惱”漏洞仍然活躍,並且沒有固件更新。黑客可以通過重寫協議和命令來覆蓋內存緩衝區,並用設備操縱其篡改。
Acronis說,Geovision尚未評論或確認這些發現。
