X-Force Red在五大訪客管理系統發現19個安全漏洞

IBM旗下安全團隊X-Force Red的兩名實習生在檢驗了市場上基於Kiosk的五大訪客管理系統之後，披露了19個安全漏洞，將允許黑客冒領識別證、入侵企業內部網路，或是查看其他的訪客紀錄。

有越來越多的企業以互動式的信息服務站（Kiosk）來管理進出企業的訪客，這些執行訪客管理系統的Kiosk能夠認證訪客並提供識別證。

不過，在X-Force Red實習的Hannah Robbins及Scott Brink卻在市場上的五大訪客管理系統中找出安全漏洞，他們檢驗的系統包括Jolly的Lobby Track Desk、HID Global的EasyLobby Solo、Threshold Security的eVisitorPass、Envoy的Envoy Passport，以及The Receptionist的同名設備，發現它們分別含有7個、4個、5個、2個及1個安全漏洞。

整體而言，上述漏洞主要涉及資料外泄、許可權擴張及取得Kiosk的控制權，有可能會頒發有效的訪客識別證給不明黑客，或是藉由Kiosk入侵企業內部系統，以及取得其他訪客的資料。

X-Force Red團隊建議，這些載入訪客管理系統的Kiosk通常安裝在戶外，由於它們扮演著企業安全的角色，理應於產品開發的生命周期中考慮到安全性，包括系統安全與硬體上的安全。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！