Una vulnerabilidad crítica en más de diez dispositivos que usan tecnología de identificación biométrica permitiría a los actores de amenazas acceder a áreas restringidas en compañías privadas, agencias gubernamentales, instituciones académicas y firmas financieras.
Los hackers maliciosos remotos podrían explotar esta falla para ejecutar comandos sin autenticación, desbloqueando una puerta o torniquete electrónico, o bien forzando un reinicio de terminal y una condición de denegación de servicio (DoS), bloqueando estos accesos.
Esta es una falla crítica y recibió un puntaje de 9.1/10 según el Common Vulnerability Scoring System (CVSS).
El problema fue identificado y reportado por Natalya Tlyapova, Sergey Fedonin, Vladimir Kononovich y Vyacheslav Moskvin, investigadores de Positive Technologies. IDEMIA, el fabricante de los dispositivos vulnerables, menciona en su sitio web que su tecnología se usa en instalaciones de todo el mundo, incluyendo bancos, universidades, instituciones médicas y otros ejemplos de infraestructura crítica.
En su reporte, los expertos señalan que la falla fue identificada en las líneas de lectores biométricos IDEMIA Access Control System (IDEMIA ACS), que cuentan con escáner de huellas dactilares y análisis de patrón de venas oculares: “Los actores de amenazas podrían explotar fácilmente esta falla para acceder a infraestructura crítica”, señala el reporte.
Hasta el momento, se han identificado como vulnerables las siguientes soluciones de IDEMIA:
- MorphoWave Compact MD
- MorphoWave Compact MDPI
- MorphoWave Compact MDPI-M
- VisionPass MD
- VisionPass MDPI
- VisionPass MDPI-M
- SIGMA Lite (todas las versiones)
- SIGMA Lite+ (todas las versiones)
- SIGMA Wide ( todas las versiones)
- SIGMA Extreme
- MA VP MD
Al respecto, la compañía reconoce las vulnerabilidades y menciona que la próxima actualización de software para los dispositivos vulnerables incluirá una activación de TLS obligatoria de forma predeterminada para mitigar el riesgo de explotación.
Este grupo de expertos ya había detectado algunas fallas de seguridad en implementaciones IDEMIA anteriormente; a mediados de 2021, los investigadores reportaron tres fallas de desbordamiento de búfer cuya explotación permitiría la ejecución remota de código y acceso de lectura/escritura a los dispositivos afectados.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
