Home » Quioscos de Gestion de Visitantes han sido encontrados Vulnerables
INDUSTRIA

Quioscos de Gestion de Visitantes han sido encontrados Vulnerables

Gestión de Visitantes, Quioscos de Gestion de Visitantes han sido encontrados Vulnerables, SecureWeek

El pasado lune 4 de Marzo, IBM X-force Red publicó hallazgos sobre vulnerabilidades en cinco “sistemas de gestión de visitantes”, los portales de inicio de sesión digital que a menudo lo saludan en negocios e instalaciones. Las empresas compran paquetes de software de gestión de visitantes y los configuran en PC o dispositivos móviles como tabletas.

Sin embargo, Hannah Robbins y Scott Brink, pasantes de X-Force, encontraron fallas, ahora en los cinco sistemas principales que observaron de las compañías de gestión de visitantes Jolly Technologies, HID Global, Threshold Security, Envoy y The Receptionist.

Si hubiera iniciado sesión en uno de estos sistemas, un atacante podría haber atrapado sus datos o haberse personificado en el sistema.

“Hay un momento de sorpresa cuando empiezas a evaluar productos reales, dispositivos reales, software real y ves lo mal que están ciertas cosas”, dice Daniel Crowley Director de Investigaciones de IBM.

“Estos sistemas filtrarían información o no autenticarían adecuadamente a una persona, o permitirían a un atacante salir del entorno del quiosco y controlar los sistemas subyacentes para plantar malware o acceder a datos”.

Los sistemas analizados por X-Force Red no se integran directamente con los sistemas que imprimen credenciales de acceso, lo que hubiera sido un problema de seguridad aún mayor.

Aún así, los investigadores encontraron vulnerabilidades que pusieron en peligro los datos confidenciales y crearon riesgos de seguridad.

“Sabía que iba a ser un baño de sangre”.DANIEL CROWLEY, IBM

La naturaleza misma de los sistemas de gestión de visitantes es en parte culpable. A diferencia de los ataques de acceso remoto que la mayoría de las organizaciones anticipan e intentan bloquear, un pirata informático podría acercarse fácilmente a un sistema de gestión de visitantes con una herramienta como una memoria USB configurada para eliminar datos automáticamente o instalar malware de acceso remoto.

Incluso sin un puerto USB accesible, los atacantes podrían usar otras técnicas, como los atajos de teclado de Windows, para ganar rápidamente el control. Y mientras más rápido siempre es mejor para un ataque, sería relativamente fácil pararse en un quiosco de inicio de sesión durante unos minutos sin atraer sospechas.

Entre los productos móviles que observaron los investigadores, The Receptionist tenía un error que podría exponer los datos de contacto de los usuarios a un atacante.

Envoy Passport expuso tokens de acceso al sistema que podrían usarse para leer y escribir o ingresar datos.”

IBM X-Force Red descubrió dos vulnerabilidades, pero los datos de clientes y visitantes nunca estuvieron en riesgo”, escribió Envoy en un comunicado. “

En el peor de los casos, estos problemas podrían ocasionar que se agreguen datos inexactos a los sistemas que utilizamos para monitorear el rendimiento de nuestro software”.

La recepcionista no proporcionó comentarios por fecha límite. Entre los paquetes de software para PC, EasyLobby Solo de HID Global tuvo problemas de acceso que podrían permitirle a un atacante tomar el control del sistema y, posiblemente, robar números de Seguro Social.

Y eVisitorPass de Threshold Security tenía problemas de acceso similares y credenciales de administrador predeterminadas adivinables.

“HID Global ha desarrollado una solución a las vulnerabilidades que un equipo de investigadores de seguridad de IBM identificó en EasyLobby Solo de HID, un producto de gestión de visitantes de estación de trabajo única de nivel de entrada”, dijo HID Global en un comunicado. “

Es importante tener en cuenta que la base instalada de EasyLobby Solo es extremadamente pequeña en todo el mundo.

HID ha identificado a todos los clientes que están usando la versión anterior del software EasyLobby Solo, y la compañía se está comunicando activamente con ellos para informarles y guiarlos sobre la implementación dela solución.”

Umbral de seguridad no hizo comentarios por fecha límite.IBM encontró siete errores en un producto llamado Lobby Track Desktop fabricado por Jolly Technologies.

Un atacante podría acercarse a un quiosco de Lobby Track y obtener fácilmente acceso a una herramienta de consulta de registros que se puede manipular para volcar toda la base de datos del sistema de registros de registro de visitantes anteriores, lo que podría incluir los números de las licencias de conducir.

De las cinco compañías con las que IBM se contactó para revelar vulnerabilidades, solo Jolly Technologies no emitió parches, porque, según la compañía, los siete problemas se pueden mitigar a través de los cambios de configuración del sistema.”

Todos los problemas de autoservicio descritos por el grupo de seguridad de IBM se pueden abordar mediante una configuración simple”, escribió el gerente de relaciones con el cliente de Jolly Technologies, Donnie Lytle, en un comunicado.

“Dejamos abierta la configuración del ‘modo kiosco’ para que los usuarios puedan personalizar el software para satisfacer sus necesidades específicas. Todas las configuraciones y opciones están cubiertas durante las demostraciones de preventa, las pruebas del cliente y la instalación con técnicos de soporte”.

Crowley dice que está contento de que estas opciones existan, pero señala que es muy raro que los usuarios se desvíen de las configuraciones predeterminadas a menos que estén específicamente tratando de habilitar una determinada característica.

En general, los investigadores señalan que muchos sistemas de gestión de visitantes se posicionan como productos de seguridad sin ofrecer en realidad mecanismos de autenticación de visitantes.

“Si usted es un sistema que se supone que identifica a las personas como visitantes de confianza, probablemente deba solicitar pruebas como un código QR o una contraseña para demostrar que las personas son quienes dicen ser. Pero los sistemas que investigamos eran como una especie de libro de registro glorificado “.

Crowley dice que le gustaría analizar más a fondo los sistemas de gestión de visitantes que se integran con las cerraduras de puerta RFID y pueden emitir credenciales directamente.

Comprometer a uno de ellos no solo le daría potencialmente un acceso físico extenso a un atacante dentro de una organización objetivo, sino que también podría permitir otros compromisos digitales en las redes de la víctima.

Los investigadores han encontrado vulnerabilidades en los sistemas de control de acceso electrónico a lo largo de los años, y continúan haciéndolo.”

Esto era una especie de rasguño en la superficie”, dice Crowley. Pero agrega que los errores que los internos encontraron en unas pocas semanas dicen mucho sobre qué más podría estar al acecho en estos sistemas cruciales e interconectados.

X