自動化的資安隱憂,訪客系統成竊取資料的熱點

作者 | 發布日期 2019 年 03 月 05 日 19:16 | 分類 資訊安全 follow us in feedly

自動化不只在產線上,連一般辦公大樓的門禁和訪客識別證,也用機器取代人力處理。但資安廠商卻發現,這些門禁和訪客發卡資訊站系統,有漏洞洩漏使用者個資,或者不小心讓駭客能繞過去取得系統權限。




IBM X-Force 成員在 Security Intelligent 發布這次發現,IBM X-Force Red 檢視 Jolly Technologies、HID Global、Threshold Security、Envoy,以及 The Receptionist 五家訪客資訊站系統,發現總共有 19 個零時漏洞,共有三大類潛在威脅:資料外洩、獲得系統權限、利用 Windows 快速鍵和說明選單取得整個系統環境權限。

資料外洩,駭客取得內部員工或是訪客清單。像是知道某家公司 CEO 天天來拜訪,對於商業間諜來講是相當寶貴的資訊,能加以利用假裝是這位 CEO 騙過系統進入公司,竊取商業機密。

IBM X-Force Red 並沒有檢驗實體發證的部分,因為實體發證的部分漏洞更多,相當容易欺騙管制人員。或者像影劇作品常常演出的侵入情境,背著伸縮梯假裝是維修人員,輕易進入辦公區。由於訪客機的特性,心懷不軌的人很容易站在訪客機很長一段時間,假裝要拜訪客戶操作機器,實際上是偷取訪客機中儲存的出入人士名單。

對於不肖人士來說,他們可以透過訪客機的實體 UBS 孔,插入 UBS 植入惡意程式,取得系統主控權。或者沒 USB 的實體孔,運用 Windows 快速鍵,迅速控制系統。

目前被指有漏洞的訪客系統,都已經修補完畢,或者計畫要上修補。根據 MarketResearch.com 的研究調查,全球的訪客系統將從 2018 年的 8 億 2,400 萬美元的規模,成長為 2025 年 13 億美元的規模。

(首圖來源:Shaw Air Force Base)

關鍵字: , ,