在2019年的网络安全审核期间,网络安全公司Acronis检测到生物识别公司Geovision制造的设备中的关键漏洞,报告安全公司一直在等待该公司修补差距近一年。
该安全公司表示,它找到了带有管理员特权的后门密码,并声称Geovision重新使用加密密钥并披露了私钥。这些缺陷可以通过国家赞助的攻击者拦截交通拦截。这项研究由Acronis Ciso Kevin Reed以及安全研究人员Alex Koshelev和Ravikant Tiwari进行。
在指纹扫描仪,访问卡扫描仪以及在多个国家 /地区分布的访问管理设备中发现了这些漏洞。这些设备是在Shodan上可见位于巴西,美国,德国,台湾和日本。
关键的技术发现包括无证件的硬编码密码,这些密码可轻松访问具有根特权的设备,在固件中共享加密密钥,这些密码可将设备暴露于中间攻击中的设备,一种可以操纵的缓冲区溢出脆弱性,可以操纵该设备,可以通过未经授权的代码运行未经授权的代码,而无需事先地真诚,并可以公开漏洞,以使您可以读取系统。
Acronis向Geovision通报了2019年8月的漏洞,然后在9月大约90天的礼貌期。两个月后,Acronis向新加坡计算机应急小组(Singcert)报告了漏洞。 Singcert和Taiwan的Twcert要求在公开漏洞的情况下延迟一个月的延迟。
大约一年后,即2020年6月,修补了三个漏洞,但关键的缓冲区溢出零日“可烦恼”漏洞仍然活跃,并且没有固件更新。黑客可以通过重写协议和命令来覆盖内存缓冲区,并用设备操纵其篡改。
Acronis说,Geovision尚未评论或确认这些发现。
