Investigador ha descubierto varias fallas en el controlador de acceso de huellas dactilares del fabricante Chiyu Technologies con sede en Taiwán, que podría permitir a los hackers abrir fácilmente las puertas cerradas.
El investigador, Maxim Rupp ha dicho que las vulnerabilidades permiten al atacante ver y modificar la configuración existente del dispositivo sin autenticación accediendo directamente por rutas conocidas.
La ruta (CVE-2015-2871) varía ligeramente dependiendo del modelo y los servicios disponibles.
De acuerdo con un aviso publicado el 31 de julio, las rutas de acceso para las comunicaciones con el acceso, huellas dactilares y otras páginas de configuración varían en función del modelo y los servicios que están disponibles, CERT/CC.
Se han identificado los modelos BF-660C, BF-630, BF-630W como vulnerables; otros modelos también pueden ser vulnerables. El CERT/CC ha podido verificar esta información con el vendedor.
Según un artículo publicado en SecurityWeek, el investigador dijo que obteniendo acceso a la página de configuración del controlador de huella digital, un atacante podría modificar la configuración, como el "nivel de seguridad" y "sensibilidad", para que sea más fácil abrir la puerta protegida por el dispositivo. Un atacante también puede cambiar la configuración de red del dispositivo y desconectarlo de la red de la organización específica.
"El investigador también ha descubierto que algunos de los dispositivos biométricos vulnerables son accesibles a través de Internet, lo que permite a un atacante explotar la vulnerabilidad de forma remota. Un atacante podría ser capaz de llevar a cabo otras acciones, así una vez que se obtiene acceso a las páginas de configuración del controlador, pero el experto dice que no ha llevado a cabo más pruebas ", lee el informe.
El investigador dijo que había varias otras empresas venden los mismos dispositivos bajo marcas diferentes.
Las fallas fueron reportadas por el investigador a Chiyu Tecnología a través del CERT/CC el 29 de mayo. Sin embargo, la empresa en cuestión no ha logrado ponerse en contacto con el fabricante.
Aún no está claro cuando la empresa va a arreglar las fallas en el controlador de acceso de huellas dactilares.
El investigador, Maxim Rupp ha dicho que las vulnerabilidades permiten al atacante ver y modificar la configuración existente del dispositivo sin autenticación accediendo directamente por rutas conocidas.
La ruta (CVE-2015-2871) varía ligeramente dependiendo del modelo y los servicios disponibles.
De acuerdo con un aviso publicado el 31 de julio, las rutas de acceso para las comunicaciones con el acceso, huellas dactilares y otras páginas de configuración varían en función del modelo y los servicios que están disponibles, CERT/CC.
Se han identificado los modelos BF-660C, BF-630, BF-630W como vulnerables; otros modelos también pueden ser vulnerables. El CERT/CC ha podido verificar esta información con el vendedor.
Según un artículo publicado en SecurityWeek, el investigador dijo que obteniendo acceso a la página de configuración del controlador de huella digital, un atacante podría modificar la configuración, como el "nivel de seguridad" y "sensibilidad", para que sea más fácil abrir la puerta protegida por el dispositivo. Un atacante también puede cambiar la configuración de red del dispositivo y desconectarlo de la red de la organización específica.
"El investigador también ha descubierto que algunos de los dispositivos biométricos vulnerables son accesibles a través de Internet, lo que permite a un atacante explotar la vulnerabilidad de forma remota. Un atacante podría ser capaz de llevar a cabo otras acciones, así una vez que se obtiene acceso a las páginas de configuración del controlador, pero el experto dice que no ha llevado a cabo más pruebas ", lee el informe.
El investigador dijo que había varias otras empresas venden los mismos dispositivos bajo marcas diferentes.
Las fallas fueron reportadas por el investigador a Chiyu Tecnología a través del CERT/CC el 29 de mayo. Sin embargo, la empresa en cuestión no ha logrado ponerse en contacto con el fabricante.
Aún no está claro cuando la empresa va a arreglar las fallas en el controlador de acceso de huellas dactilares.
