Sem TLS acionado, dispositivo biométrico libera portas

Da Redação
17/01/2022

A falta de acionamento do protocolo TLS em 11 modelos de terminal biométrico da francesa Idemia permite explorá-lo para abrir portas ou catracas. A vulnerabilidade é crítica e tem CVSS de 9.1 segundo o boletim de segurança publicado pela empresa ainda em dezembro. A empresa afirmou no boletim que uma futura versão do firmware tornará o acionamento do TLS obrigatório por padrão. “A ativação, a configuração adequada do protocolo TLS e a instalação do certificado TLS no dispositivo corrigem a vulnerabilidade mencionada acima”, diz a Idemia.

Devido a essa falha de segurança, se o protocolo TLS não estiver ativado um invasor na rede pode enviar comandos específicos sem autenticação para abrir portas ou catracas operadas diretamente por um dispositivo vulnerável. O invasor também pode explorar o bug para causar uma condição de negação de serviço (DoS) enviando um comando de reinicialização para o dispositivo vulnerável, de acordo com o boletim publicado pela Idemia. A empresa de tecnologia, com sede na França, é especializada em serviços de segurança física relacionados à identidade.

Veja isso
Unisys aposta em biometria comportamental
Sistema biométrico usa IA para reduzir risco de fraude de identidade

A falha foi localizada por pesquisadores da empresa russa de segurança cibernética Positive Technologies – pubida pelos EUA no ano passado por supostos laços com a inteligência russa. Nenhum número de identificação CVE foi publicado até agora para essa falha. Entre os produtos afetados estão MorphoWave Compact MD/MDPI/MDPI-M, VisionPass MD/MDPI/MDPI-M, todas as variantes do SIGMA Lite/Lite+/Wide, SIGMA Extreme e MA VP MD.

O problema afeta todas as organizações que dependem de dispositivos de identificação biométrica da Idemia vulneráveis, incluindo instalações de infraestrutura crítica, instituições financeiras, organizações de saúde e universidades.

Com agências de notícias internacionais

Compartilhar: