De multiples vulnérabilités Zero Day découvertes par Tenable Research dans une technologie d'accès aux bâtiments

Un attaquant pourrait prendre le contrôle sur des bâtiments en exploitant des failles non corrigées pour créer des badges frauduleux et désactiver les serrures des bâtiments

Tenable®, Inc., la société de Cyber Exposure, annonce aujourd'hui avoir découvert plusieurs vulnérabilités Zero Day dans le système de contrôle d'accès PremiSys™ développé par IDenticard. Lorsqu'elle est exploitée, la vulnérabilité la plus grave donne à l'attaquant un libre accès à la base de données du système de badges, ce qui lui permet d'entrer clandestinement dans les bâtiments en créant des badges frauduleux et en désactivant les serrures des bâtiments. D'après les informations disponibles sur son site Web, IDenticard compte des dizaines de milliers de clients dans le monde entier, y compris des sociétés du Fortune 500, des écoles primaires et secondaires, des universités, des centres médicaux et des agences gouvernementales.

Aujourd'hui, toute entreprise dispose d'une infrastructure digitale extrêmement complexe composée à la fois d'assets classiques et récents, depuis les postes de travail, les serveurs sur site jusqu'aux systèmes de sécurité des bâtiments et aux appareils connectés. Ce niveau de complexité a rendu de plus en plus difficile pour les équipes de sécurité d'établir des réseaux sécurisés dans des environnements d'entreprise en perpétuelle évolution. Les vulnérabilités Zero Day de PremiSys nous rappellent avec force que l'adoption massive des technologies émergentes a rapidement brouillé les frontières entre la sécurité physique et digitale. Cette découverte survient quelques mois à peine après que Tenable Research a découvert une autre faille appelée Peekaboo, dans des logiciels de vidéosurveillance déployés à l'international.

La technologie PremiSys permet aux clients d'accorder et de restreindre l'accès aux portes, aux installations de verrouillage et à la vidéosurveillance. Une fois exploitée, la faille la plus grave donnerait aux cyber-criminels l'accès à l'ensemble de la base de données du système de badges via le terminal de service PremiSys Windows Communication Foundation (WCF). En utilisant les privilèges d'administrateur, les attaquants peuvent effectuer différentes actions comme télécharger le contenu intégral de la base de données du système, modifier son contenu ou supprimer des utilisateurs.

« L'ère numérique a rapproché les mondes cybernétique et physique grâce, en partie, à l'adoption de l'IoT. La sécurité d'une entreprise ne repose plus sur un pare-feu, des sous-réseaux ou un périmètre physique ; elle n'a maintenant plus de frontières. C'est pourquoi il est essentiel que les équipes de sécurité aient une visibilité complète sur les zones où elles sont exposées et dans quelle mesure », a déclaré Renaud Deraison, cofondateur et Chief Technology Officer chez Tenable. « Malheureusement, de nombreux fabricants d'IoT ne comprennent pas toujours les risques des logiciels non corrigés, laissant les consommateurs et les entreprises vulnérables à une cyber-attaque. Dans ce cas, les entreprises qui utilisent PremiSys pour le contrôle d'accès courent un risque énorme car les correctifs ne sont pas disponibles. Au-delà de cette problématique spécifique, le secteur de la sécurité a besoin d'un dialogue plus large sur les systèmes embarqués et leur maintenance dans le temps. La complexité de l'infrastructure digitale augmente, et il en va de même pour sa maintenance. Les fournisseurs doivent s'engager à livrer les correctifs de sécurité en temps opportun et de façon entièrement automatisée. Tenable Research s'engage à collaborer avec les fournisseurs qui le souhaitent pour coordonner les divulgations afin d'assurer la sécurité des consommateurs et des entreprises. La collaboration du secteur est essentielle pour aider les clients à gérer, mesurer et réduire leur exposition. »

Tenable Research a divulgué les vulnérabilités (CVE-2019-3906, CVE-2019-3907, CVE-2019-3908, CVE-2019-3908, CVE-2019-3909) qui affectent la version 3.1.190 chez IDenticard selon les procédures standard décrites dans sa politique de divulgation des vulnérabilités. L'équipe a tenté à plusieurs reprises de communiquer avec le fournisseur. Le 19 novembre, Tenable a informé le CERT de cette vulnérabilité. Pour réduire les risques, les utilisateurs doivent segmenter leur réseau afin de s'assurer que les systèmes comme PremiSys sont isolés autant que possible des menaces internes et externes.

Pour plus d'informations, lisez l'article du blog Tenable Research Advisory.

À propos de Tenable

Tenable®, Inc. est la société de Cyber Exposure. Plus de 24 000 entreprises dans le monde comptent sur Tenable pour comprendre et réduire leur cyber-risque. Après avoir créé Nessus®, Tenable a enrichi son expertise en matière de vulnérabilités pour proposer Tenable.io, la première plateforme au monde capable de voir et de sécuriser tous les assets digitaux, quelle que soit la plateforme informatique. La clientèle de Tenable comprend plus de 50 % des sociétés du Fortune 500, plus de 25 % des sociétés du Global 2000, ainsi que de grandes administrations publiques. Pour en savoir plus, rendez-vous sur fr.tenable.com.

Contact :