Un atacante podría tener libre acceso  a los edificios explotando las vulnerabilidades no atendidas para crear credenciales de acceso fraudulentas y deshabilitar las cerraduras de estos inmuebles.

COLUMBIA, Md. (14 de enero de 2019) – Tenable, Inc., la compañía Cyber ??Exposure, anunció hoy que Tenable Research ha descubierto varias vulnerabilidades de día cero en el sistema de control de acceso PremiSys desarrollado por IDenticard. Cuando se explota, la vulnerabilidad más grave le da al atacante acceso ilimitado a la base de datos del sistema de credenciales lo que le permite ingresar de forma encubierta a los edificios al crear credenciales fraudulentas y deshabilitar las cerraduras de los edificios. Según su sitio web, IDenticard tiene decenas de miles de clientes en todo el mundo, incluidas las compañías Fortune 500, escuelas de nivel básico y medio, universidades, centros médicos y agencias de gobierno.

La empresa moderna de hoy tiene una infraestructura digital extremadamente compleja que comprende activos tanto tradicionales como modernos, desde estaciones de trabajo y servidores locales hasta sistemas de seguridad y dispositivos inteligentes. Este nivel de complejidad ha hecho cada vez más difícil para los equipos de seguridad establecer redes seguras en entornos empresariales dinámicos. Los días cero de PremiSys son un claro recordatorio de que la adopción masiva de tecnologías emergentes ha desdibujado rápidamente las líneas entre la seguridad física y la digital. Este descubrimiento se produce pocos meses después de que Tenable Research descubriera otro defecto de día cero, denominado Peekaboo, en el software de videovigilancia global.

La tecnología PremiSys permite a los clientes otorgar y restringir el acceso a puertas, instalaciones de cierre y ver video integrado. Una vez explotada, la falla más severa le permitiría a los ciberdelincuentes acceso privilegiado de administrador a toda la base de datos del sistema de credenciales de acceso a través del punto de servicio PremiSys Windows Communication Foundation (WCF). Al usar los privilegios de administrador, los atacantes pueden realizar una variedad de acciones, como descargar el contenido completo de la base de datos del sistema, modificar su contenido o eliminar usuarios.

“La era digital ha unido a los mundos físico y cibernético gracias, en parte, a la adopción de IoT. El ámbito de seguridad de una organización ya no está limitado por un firewall, subredes o el perímetro físico, que actualmente ya no tiene fronteras definidas.

Esto hace que sea de vital importancia para los equipos de seguridad tener una visibilidad completa de dónde están expuestos y en qué medida “, dijo Renaud Deraison, cofundador y director de tecnología de Tenable.

“Desafortunadamente, muchos fabricantes en el nuevo mundo de IoT no siempre comprenden los riesgos de un software sin parches, lo que deja a los consumidores y las empresas vulnerables a un ataque cibernético. En este caso, las organizaciones que usan PremiSys para el control de acceso corren un gran riesgo ya que los parches no están disponibles. Más allá de este problema en particular, la industria de la seguridad debe tener un diálogo más amplio sobre los sistemas integrados y su capacidad de tener un mantenimiento adecuado a lo largo del tiempo. La complejidad de la infraestructura digital está aumentando, al igual que su mantenimiento. Necesitamos que los proveedores se comprometan a entregar parches de seguridad de manera oportuna y de manera totalmente automatizada. Tenable Research está comprometido a cooperar con fabricantes dispuestos a divulgar este tipo de vulnerabilidades de manera coordinada para ayudar a garantizar que tanto los consumidores como las organizaciones estén seguros. La colaboración de la industria es clave para ayudar a los clientes a administrar, medir y reducir su exposición “.

Tenable Research reveló las vulnerabilidades (CVE-2019-3906, CVE-2019-3907, CVE-2019-3908, CVE-2019-3909), que afectan a la versión 3.1.190, a IDenticard siguiendo los procedimientos estándar descritos en su política de divulgación de vulnerabilidades. El equipo hizo múltiples intentos para contactar al vendedor. El 19 de noviembre, Tenable informó al CERT (Computer Emergency Response Team) de la vulnerabilidad. Para reducir el riesgo de compromiso, los usuarios deben segmentar su red para garantizar que los sistemas como PremiSys estén aislados de las amenazas internas y externas tanto como sea posible.