تواصل معنا عبر الرسائل أو عبر الهاتف.

whatsapp telegram viber phone email
+79214188555

Уязвимость систем контроля доступа AIphone

root

طاقم الإدارة
Full members of NP "MOD"
إنضم
17 فبراير 2007
المشاركات
678
مستوى التفاعل
1,026
النقاط
93

Исследовательская группа Promon обнаружила уязвимость позволяющую получать доступ на объект, использующий систему доступа AIphone, с использованием NFC метки.​


В июне 2021 года Promon обнаружил уязвимость в ряде видео-систем доступа, изготовленных Aiphone, ведущим международным производителем интерком и коммуникационных продуктов,
которая позволяют осуществить не правомерный доступ на любой объект, который использует систему, используя только мобильное устройство и NFC метку.
Рассматриваемые устройства (GT-DMB-N, GT-DMB-LVN и GT-DB-VN) используюся во всех странах мира для защиты жилых помещений и корпоративных зданий (включая системы - "умный дом").

AdobeStock_310607630-scaled-e1667986208111.jpg


О проблеме
Исследователи Promon обнаружили, что злоумышленники могут использовать мобильное устройство с модулем NFC для запуска атаки на систему входа,
для поиска пасс-кода администратора, путём подбора пароля.
Поскольку количество попыток ввода пароля и частота попыток - не ограничена.
Если код найден, появляется возможность ввести серийный номер новой NFC-метки в список одобренных меток,
но записывать пасс-код администратора на NFC метку не обязательно, в этом случае будет необходимо ввести пасс-код администратора на клавиатуре системы доступа.
В случае если пароль записать на NFC метку то доступ к объекту будет осуществляется без использования клавиатуры.
Для работы эксплоита потребуется модифицированное ПО (обычный эмулятор NFC host based app для Android, который имитирует поведение официального административного приложения)

Решение проблемы
Модели, изготовленные после 7 декабря 2021 года, не подвержены этой атаке.
Aiphone попросил, чтобы клиенты обладатели системами с данной уязвимостью, изготовленными до 7 декабря 2021 года, связались с ними для получения дополнительных инструкций.
Aiphone также поделился уведомлением с клиентами, предупредив их о существовании уязвимости.
Уязвимости был присвоен номер (CVE) ID CVE-2022-40903.
 
Original message

Исследовательская группа Promon обнаружила уязвимость позволяющую получать доступ на объект, использующий систему доступа AIphone, с использованием NFC метки.​


В июне 2021 года Promon обнаружил уязвимость в ряде видео-систем доступа, изготовленных Aiphone, ведущим международным производителем интерком и коммуникационных продуктов,
которая позволяют осуществить не правомерный доступ на любой объект, который использует систему, используя только мобильное устройство и NFC метку.
Рассматриваемые устройства (GT-DMB-N, GT-DMB-LVN и GT-DB-VN) используюся во всех странах мира для защиты жилых помещений и корпоративных зданий (включая системы - "умный дом").

AdobeStock_310607630-scaled-e1667986208111.jpg


О проблеме
Исследователи Promon обнаружили, что злоумышленники могут использовать мобильное устройство с модулем NFC для запуска атаки на систему входа,
для поиска пасс-кода администратора, путём подбора пароля.
Поскольку количество попыток ввода пароля и частота попыток - не ограничена.
Если код найден, появляется возможность ввести серийный номер новой NFC-метки в список одобренных меток,
но записывать пасс-код администратора на NFC метку не обязательно, в этом случае будет необходимо ввести пасс-код администратора на клавиатуре системы доступа.
В случае если пароль записать на NFC метку то доступ к объекту будет осуществляется без использования клавиатуры.
Для работы эксплоита потребуется модифицированное ПО (обычный эмулятор NFC host based app для Android, который имитирует поведение официального административного приложения)

Решение проблемы
Модели, изготовленные после 7 декабря 2021 года, не подвержены этой атаке.
Aiphone попросил, чтобы клиенты обладатели системами с данной уязвимостью, изготовленными до 7 декабря 2021 года, связались с ними для получения дополнительных инструкций.
Aiphone также поделился уведомлением с клиентами, предупредив их о существовании уязвимости.
Уязвимости был присвоен номер (CVE) ID CVE-2022-40903.

Similar threads

До нового года осталось