Tenable Network Securityはこのほど、同社のデータサイエンスチーム「Tenable Research」が、IDenticardが開発したPremiSysのビル向けセキュリティ・システムに複数のゼロデイ脆弱性を発見したと発表した。

PremiSysの技術は、ドア・アクセスの権限付与を操作できるほか、設備を施錠したり、内臓カメラで録画した動画データを確認したりすることができる。

攻撃者が最も深刻な脆弱性を悪用した 場合、PremiSys Windows Communication Foundation (WCF) サービスのエンドポイントを経由し、バッジシステム・データベース全体への管理者アクセスが可能となる。攻撃者はこの管理者権限を利用して、システムデータベースのあらゆるコンテンツのダウンロード、書き換え、ユーザー削除など、さまざまなアクションを実行可能。

IDenticardは世界中に数万社以上の顧客を持っており、その中にはフォーチュン500企業、K-12教育機関、大学、医療施設、および政府機関も含まれる。

Tenable Researchは、脆弱性の開示方針に記載されている標準手法に基づき、IDenticardのバージョン3.1.190における脆弱性(CVE-2019-3906, CVE-2019-3907, CVE-2019-3908, CVE-2019-3909)を開示した。

IDenticardは1月18日(米国時間)、上記の脆弱性に関する調査結果を発表しており、すべてのユーザーにパッチがリリースされたら公開するとしている。

  • IDenticardの脆弱性に関する発表