IDEMIA MoprhoWave

Продукт
Разработчики: IDEMIA
Дата последнего релиза: 2022/01/14
Технологии: ИБ - Биометрическая идентификация,  СКУД - Системы контроля и управления доступом

Основная статья: Технологии биометрической идентификации

2022: Исправление уязвимости, позволяющей обойти биометрическую идентификацию

Критическую уязвимость VU-2021-004, получившую оценку 9,1 по шкале CVSS v3, обнаружили эксперты Positive Technologies Наталья Тляпова, Сергей Федонин, Владимир Кононович и Вячеслав Москвин. Устройства, в которых обнаружена ошибка, применяются в крупных финансовых учреждениях мира, университетах, организациях здравоохранения, на объектах критически важной инфраструктуры. Принудительное использование TLS для протокола управления позволит устранить риск обхода биометрической идентификации. Об этом PT сообщила 14 января 2022 года.

«
Уязвимость выявлена в нескольких линейках биометрических считывателей для СКУД IDEMIA, оснащенных как сканерами отпечатков пальцев, так и комбинированными устройствами, анализирующими отпечатки и рисунки вен пальцев. Атакующий потенциально может проникнуть на охраняемую территорию или заблокировать работу систем контроля доступа, — рассказал руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.
»

Злоумышленник, действующий удаленно, может без аутентификации использовать следующие команды:

  • команду trigger_relay для открытия двери или турникета, если терминал непосредственно управляет ими
  • или команду terminal_reboot, чтобы вызвать отказ в обслуживании.

Для устранения уязвимости пользователи должны активировать и корректно настроить протокол TLS согласно разделу 7 Рекомендаций по безопасной установке компании IDEMIA. В одной из будущих версий прошивки IDEMIA сделает активацию TLS обязательной по умолчанию.TAdviser Security 100: Крупнейшие ИБ-компании в России 59.8 т

Уязвимости подвержены следующие устройства:

  • MorphoWave Compact MD;
  • MorphoWave Compact MDPI;
  • MorphoWave Compact MDPI-M;
  • VisionPass MD;
  • VisionPass MDPI;
  • VisionPass MDPI-M;
  • SIGMA Lite (все варианты);
  • SIGMA Lite+ (все варианты);
  • SIGMA Wide (все варианты);
  • SIGMA Extreme;
  • MA VP MD.

В июле 2021 года IDEMIA исправила три уязвимости, обнаруженные экспертами Positive Technologies.

2021: Устранение трех уязвимостей

Компания IDEMIA исправила три уязвимости, обнаруженные экспертами Positive Technologies Натальей Тляповой, Сергеем Федониным, Владимиром Кононовичем и Вячеславом Москвиным. Одна из уязвимостей оказалась критически опасной. Ошибки выявлены в прошивке устройств IDEMIA серий MoprhoWave, VisionPass, SIGMA, MorphoAccess, которые предназначены для организации контроля доступа с помощью биометрической идентификации. Об этом РТ сообщила 22 июля 2021 года.

Используя эти уязвимости, злоумышленник может получить доступ к удаленному выполнению команд, вызвать отказ в обслуживании устройства, а также производить на нём чтение и запись произвольных файлов.

Первый недостаток безопасности CVE-2021-35522 (оценка 9,8 по шкале CVSS v3, критическая степень риска) может позволить злоумышленнику удаленно выполнить произвольный код. Ошибка относится к классу «переполнение буфера» и связана с отсутствием проверки длины входных данных, полученных из сетевого пакета протокола Thrift.

«
Эксплуатация этой уязвимости позволяет обойти биометрическую идентификацию, которую обеспечивают перечисленные выше устройства IDEMIA. В результате атакующий может, например, удаленно открыть двери, контролируемые устройством, и проникнуть на охраняемую территорию, — рассказывает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.
»

Вторая уязвимость CVE-2021-35520 (оценка 6,2) связана с переполнением в куче обработчика последовательного порта. При наличии физического доступа к последовательному порту имеется возможность вызвать отказ в обслуживании устройства.

Третья уязвимость CVE-2021-35521 (оценка 5,9) относится к классу «выход за пределы директории». Ошибка позволяет читать и записывать произвольные файлы. Эти возможности позволяют реализовать несанкционированное выполнение привилегированных команд на устройстве.

Для устранения возможности эксплуатации выявленных уязвимостей необходимо установить последнюю версию прошивки, доступную на официальном сайте IDEMIA.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Биолинк Солюшенс (BioLink Solutions) (134)
  Прософт Биометрикс (ProSoft Biometrics) (74)
  Индид, Indeed (ранее Indeed ID) (45)
  VisionLabs (ВижнЛабс) (35)
  Группа компаний ЦРТ (Центр речевых технологий) (31)
  Другие (460)

  Прософт Биометрикс (ProSoft Biometrics) (11)
  VisionLabs (ВижнЛабс) (7)
  Группа компаний ЦРТ (Центр речевых технологий) (5)
  Талмер (Talmer) (4)
  РекФэйсис (4)
  Другие (52)

  Индид, Indeed (ранее Indeed ID) (6)
  VisionLabs (ВижнЛабс) (2)
  ВидеоМатрикс (Videomatrix) (2)
  Goodt (Гудт) (2)
  NDBC - ЭнДиБиСи (ранее НТТ ДАТА Бизнес Солюшнс, itelligence Россия, Ителлидженс) (2)
  Другие (21)

  Сбербанк (7)
  Индид, Indeed (ранее Indeed ID) (7)
  Сканпорт АйДи (Scanport) (6)
  VisionLabs (ВижнЛабс) (4)
  ОКТРОН (3)
  Другие (15)

  Сбербанк (7)
  Северсталь-Инфоком (3)
  Индид, Indeed (ранее Indeed ID) (2)
  Сканпорт АйДи (Scanport) (2)
  Банк ВТБ (1)
  Другие (10)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Биолинк Солюшенс (BioLink Solutions) (9, 140)
  Прософт Биометрикс (ProSoft Biometrics) (18, 84)
  VisionLabs (ВижнЛабс) (26, 51)
  Индид, Indeed (ранее Indeed ID) (1, 45)
  Группа компаний ЦРТ (Центр речевых технологий) (14, 39)
  Другие (361, 310)

  Прософт Биометрикс (ProSoft Biometrics) (7, 11)
  VisionLabs (ВижнЛабс) (2, 8)
  Группа компаний ЦРТ (Центр речевых технологий) (2, 6)
  РекФэйсис (2, 4)
  Ростелеком (4, 3)
  Другие (23, 31)

  Индид, Indeed (ранее Indeed ID) (1, 6)
  Goodt (Гудт) (1, 3)
  ABC Solutions (Эй Би Си Солюшенс) (1, 3)
  VisionLabs (ВижнЛабс) (2, 2)
  ВидеоМатрикс (Videomatrix) (1, 2)
  Другие (9, 9)

  Сбербанк (3, 8)
  Индид, Indeed (ранее Indeed ID) (1, 7)
  VisionLabs (ВижнЛабс) (3, 6)
  Shenzhen Chainway Information Technology (1, 6)
  АйТи Бастион (1, 3)
  Другие (6, 6)

  Сбербанк (1, 6)
  Индид, Indeed (ранее Indeed ID) (1, 2)
  Shenzhen Chainway Information Technology (1, 2)
  Goodt (Гудт) (1, 1)
  VisionLabs (ВижнЛабс) (1, 1)
  Другие (4, 4)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  BioLink BioTime - 123
  Indeed Access Manager (Indeed AM) - 45
  BioLink FingerPass - 45
  Biosmart Studio - 36
  СКУД BioSmart - 27
  Другие 434

  VisionLabs Luna - 5
  VisionLabs Thermo (ранее VisionLabs Termo) - 5
  Biosmart Studio - 4
  BioSmart PV‑WTC Терминал - 4
  Voice2Med Система распознавания речи в медицине - 4
  Другие 42

  Indeed Access Manager (Indeed AM) - 6
  Goodt (Ранее ZoZo RCAM, Revenue&Costs Assurance Management) - 3
  Vmx SILA: HSE - 2
  VisionLabs Luna Pass - 1
  Yandex Vision - 1
  Другие 9

  Indeed Access Manager (Indeed AM) - 7
  Shenzhen Chainway C-серия RFID-считывателей - 6
  Сбербанк: Система оплаты по улыбке - 5
  АйТи Бастион: СКДПУ НТ Система контроля действий поставщиков ИТ-услуг - 3
  Сбер и VisionLabs: Мобильная биометрическая система контроля доступа на базе ИИ - 2
  Другие 9

  Сбербанк: Система оплаты по улыбке - 6
  Indeed Access Manager (Indeed AM) - 2
  Shenzhen Chainway C-серия RFID-считывателей - 2
  VisionLabs Luna - 1
  АйТи Бастион: СКДПУ НТ Система контроля действий поставщиков ИТ-услуг - 1
  Другие 3

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Прософт Биометрикс (ProSoft Biometrics) (31)
  Eselta (ПетерСофт) (17)
  Вокорд (Vocord) (13)
  PERCo (10)
  Сканпорт АйДи (Scanport) (9)
  Другие (270)

  Талмер (Talmer) (4)
  Сбербанк (2)
  ISS (Intelligent Security Systems) Интеллектуальные системы безопасности (2)
  Свизитом (Svisitom) (2)
  Visa International (2)
  Другие (17)

  Космические коммуникации (КосКом) (1)
  Другие (2)

  Сканпорт АйДи (Scanport) (6)
  ОКТРОН (3)
  VisionLabs (ВижнЛабс) (2)
  Сбербанк (2)
  Инфосистемы Джет (1)
  Другие (4)

  Сканпорт АйДи (Scanport) (2)
  ОКТРОН (1)
  Сбербанк (1)
  Т2 (Т2 Мобайл, Т2 РТК Холдинг) ранее Tele2 (1)
  Электронные системы (ЭЛСИ) (1)
  Другие (0)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Прософт Биометрикс (ProSoft Biometrics) (3, 37)
  Eselta (ПетерСофт) (1, 16)
  Ай-Ти Технологии XXI век (3, 15)
  Вокорд (Vocord) (1, 13)
  Shenzhen Chainway Information Technology (1, 12)
  Другие (267, 154)

  Ростелеком (2, 2)
  ISS (Intelligent Security Systems) Интеллектуальные системы безопасности (1, 2)
  Свизитом (Svisitom) (1, 2)
  SITA (1, 1)
  ГазИнтех (1, 1)
  Другие (6, 6)

  Космические коммуникации (КосКом) (1, 1)
  Другие (0, 0)

  Shenzhen Chainway Information Technology (1, 6)
  VisionLabs (ВижнЛабс) (1, 2)
  Сбербанк (1, 2)
  CyberPeak (СайберПик) (1, 1)
  Метрика Б (1, 1)
  Другие (0, 0)

  Shenzhen Chainway Information Technology (1, 2)
  Электронные системы (ЭЛСИ) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  СКУД BioSmart - 27
  ИСБ Eselta - 16
  Vocord FaceControl - 13
  Shenzhen Chainway C-серия RFID-считывателей - 12
  BioSmart WorkTime - 11
  Другие 166

  SecurOS - 2
  Свизитом: Эксплуатация и обслуживание зданий - 2
  Shenzhen Chainway C-серия RFID-считывателей - 1
  Ростелеком Ключ - 1
  Smartkey Считыватели RFID-карт - 1
  Другие 6

  КосКом: Цифровая школа - 1
  Другие 0

  Shenzhen Chainway C-серия RFID-считывателей - 6
  Сбер и VisionLabs: Мобильная биометрическая система контроля доступа на базе ИИ - 2
  CyberPeak Спектр - 1
  Метрика Б: Inoface - 1
  Другие 0

  Shenzhen Chainway C-серия RFID-считывателей - 2
  ЭЛСИ: АТУ-1000 Семейство турникетов - 1
  Другие 0