Lỗ hổng trong hệ thống quản lý khách hàng sẽ là cơ hội để tội phạm mạng tấn công
An toàn thông tin - Ngày đăng : 10:58, 08/03/2019
Thông thường, các hệ thống này tự động hóa xác thực thông tin khách hàng và cung cấp ký hiệu bảo mật để truy cập với mục đích không để ai biết khách hàng nào vừa truy cập. Tuy nhiên, nhóm nghiên cứu X-Force của IBM kết hợp một số hướng dẫn từ các cố vấn, đã kiểm tra 5 hệ thống như vậy và tìm thấy tổng cộng 19 lỗ hổng, một trong số đó cho phép đối thủ tự tạo ra ký hiệu riêng để truy cập vào ứng dụng hoặc thoát khỏi môi trường quầy hàng và sau đó tương tác với hệ điều hành Windows.
Về cơ bản, các hệ thống này được tiếp xúc một cách có chủ ý với người ngoài và có vai trò trong bảo mật của một tổ chức, cách bảo mật này nên được phát triển trong suốt vòng đời sản phẩm và bao gồm những kẻ tấn công hiện diện vật lý. Tuy nhiên, IBM X-Force đã xác định được các lỗ hổng trong một số sản phẩm của hệ thống quản lý khách hàng truy cập có thể ngăn những kẻ tấn công đạt được mục tiêu trên.
IBM cũng đã tìm ra các sản phẩm bị ảnh hưởng như là Lobby Track Desktop từ Jolly Technologies, EasyLulk Solo từ HID Global, eVisitorPass từ Threshold Security, Envoy Passport từ Envoy và The Receptionist.
Người phát ngôn của IBM chia sẻ với SC Media rằng tất cả nhà cung cấp đã phát hành các bản cập nhật cho các lỗ hổng ngoại trừ Jolly Technologies. Các lỗ hổng của The Lobby Track đã được Jolly Technologies thừa nhận, nhưng họ tuyên bố rằng các vấn đề đó có thể được giải quyết thông qua các tùy chọn cấu hình.
Lobby Track Desktop được tìm thấy có chứa bảy lỗ hổng. Ba trong số đó là các lỗ hổng thông tin có thể tiết lộ, ví dụ như hồ sơ khách truy cập, số giấy phép lái xe và thông tin dữ liệu. Bốn lỗ hổng còn lại bao gồm hai nỗ lực tấn công các kiosk (thiết bị kỹ thuật số truyền thông tương tác qua màn hình), ghi lại mật khẩu khi khách hàng truy cập và sử dụng thông tin đăng nhập tài khoản mặc định.
Năm lỗ hổng mà các nhà nghiên cứu đã phát hiện ra trong eVisitorPass bao gồm 04 tài khoản đặc quyền và một tài khoản mặc định thông tin đăng nhập của quản trị viên.
EasyLobby Solo bị gắn cờ an ninh vì 4 lỗ hổng do tiết lộ thông tin số An sinh xã hội, từ chối quản lý tác vụ đối với dịch vụ lỗi, một tài khoản đặc quyền và sử dụng thông tin đăng nhập tài khoản mặc định.
Envoy Passport hỗ trợ các thiết bị Android và iPhone được tìm thấy có chứa hai lỗ hổng tiết lộ thông tin đó là khóa API và thông tin đăng nhập OAuth. Còn đối với The Receptionist hỗ trợ thiết bị iPad được xác định có lỗ hổng tiết lộ thông tin liên lạc.
Để ngăn ngừa sự cố trong tương lai, Crowley khuyến nghị người dùng hệ thống quản lý khách hàng truy cập không chỉ thường xuyên áp dụng các bản cập nhật phần mềm mà còn phải thực hiện kiểm tra bảo mật trên các hệ thống, loại bỏ quyền quản trị nếu có thể, cắt quyền truy cập mạng, sử dụng mã hóa toàn bộ đĩa và vận hành hệ thống trong chế độ kios để giới hạn chức năng.
SC đã cố gắng tiếp cận các nhà cung cấp bị ảnh hưởng có tên trong nghiên cứu này. Người phát ngôn của The Receptionist phát biểu với SC Media rằng công ty đã tiến hành sửa lỗ hổng và nâng cấp hệ thống công nghệ thông tin nhằm đảm bảo sự an toàn cho các khách hàng: “Chúng tôi đã xóa tệp contact.json được đề cập trong CVE với phiên bản 4.2 của ứng dụng được phát hành vào ngày 8 tháng 2. Tệp được đề cập chỉ được sử dụng bởi thử nghiệm giao diện người dùng tự động của chúng tôi và nó không chứa dữ liệu khách hàng truy cập”.
Envoy cũng đưa ra một tuyên bố, lưu ý rằng các vấn đề đã được giải quyết vào ngày 14 tháng 2 và dữ liệu khách hàng và khách truy cập của Cameron không bao giờ gặp rủi ro. Trường hợp xấu nhất, những sự cố này có thể khiến dữ liệu không chính xác được thêm vào hệ thống chúng tôi sử dụng để theo dõi cách phần mềm của chúng tôi hoạt động. Các nhà nghiên cứu của IBM đã đánh giá mức độ nghiêm trọng của vấn đề này là thấp.