Trellix descobre oito zero days em automação predial

Da Redação
12/06/2022

A Trellix publicou na última quinta-feira um extenso relatório sobre oito falhas até agora desconhecidas (zero days) que podem ser exploradas nos sistemas de controle de acesso LenelS2, da Carrier, caso não tenham sido corrigidas com os últimos patches anunciados pelo fabricante em sua página de segurança do produto. Ali se encontram detalhes do problema, mitigações recomendadas e atualizações de firmware. Os sistemas são amplamente utilizados no acesso interno e externo em prédios corporativos segundo a Trellix. A mais grave das falhas tem grau dez de risco na escala CVSS.

Os painéis de controle de acesso LenelS2 da Carrier são fabricados pela HID Mercury e nos EUA utilizados ​​por organizações de saúde, educação, transporte e segurança física governamental diz o relatório publicado. A pesquisa localizou oito vulnerabilidades de dia zero que levam ao controle total do sistema, incluindo a capacidade de um invasor manipular remotamente as fechaduras das portas.

Veja isso
Bugs no Linux dão acesso com privilégio de root a invasor
4 em cada 10 PCs de edifícios inteligentes são alvos de malware

Num vídeo publicado junto com o seu relatório, a Trellix mostra as consequências do problema quando não corrigido e a facilidade com que pode ser explorado.

Esse sistema, segundo a Trellix, foi escolhido por causa de seu uso onipresente, volume e criticidade das indústrias nas quais são usados, as certificações de segurança que o produto recebeu e a posição geral no mercado: “Para este projeto, prevemos um forte potencial para encontrar vulnerabilidades, sabendo que o controlador de acesso estava executando um sistema operacional Linux e o acesso root à placa poderia ser obtido aproveitando as técnicas clássicas de hacking de hardware. Embora acreditássemos que falhas poderiam ser encontradas, não esperávamos encontrar vulnerabilidades comuns de software herdado em uma tecnologia relativamente recente. Além disso, este produto foi aprovado para uso do Governo Federal dos EUA após testes rigorosos de vulnerabilidade de segurança e interoperabilidade”.

O relatório da Trellix está em “hxxps://www.trellix.com/en-us/about/newsroom/stories/threat-labs/trellix-threat-labs-uncovers-critical-flaws.html”

Compartilhar: