サイバー攻撃者は、安全であるはずの施設のドアに設置されたアクセス制御手段を悪用して、建物の機密性の高い場所に不正にアクセスする可能性があるだけでなく、これらのシステムから内部の IP ネットワークに直接侵入する可能性があると研究者は警告しています。
での非公開セッションで、 ブラック ハット ヨーロッパ 2023 今月、オトリオのアナリストは、攻撃者がどのようにして簡単に破壊できるかを実証しました 最新の物理アクセス制御システム (PACS)これらは通常、バッジ スキャナー、カード スワイパー、またはキーパッドの形で安全なドアによってインストールされます。
オトリオの研究責任者、エラン・ジェイコブ氏によると、オープン監視デバイスプロトコル(OSDP)を使用するPACSは特に危険にさらされているという。 OSDP により、カードまたはバッジ リーダーとアクセス コントローラー自体の間の安全な通信が可能になります。 過去に複数の脆弱性があった.
デモンストレーションでは、研究者らはリーダーの背後にあるシリアル接続上で中間者存在を確立し、改ざん保護を克服し、OSDP をバイパスして不正な物理アクセス用のドアのロックを解除し、アクセス コントローラーを悪用してアクセスをピボットすることができました。シリアルチャネル経由の内部 IP ネットワーク。
ジェイコブ氏は声明で「われわれは最新の物理的アクセス制御システムを回避することに成功し、施設への不正アクセスの潜在的な経路を暴露した」と述べた。 建物へのアクセスに関するサイバー調査の詳細。 「私たちの調査結果は、これらのデバイスの技術進歩における矛盾を明らかにしています。デバイスには追加のセキュリティ機能が組み込まれているため、複雑さが増し、新たなリスクも生じます。私たちの研究では、これによって攻撃者が物理的障壁を侵害し、安全なサイトのゲートから直接内部 IP ネットワークに侵入できる可能性があることを実証しました。」
獲得 不正な物理的アクセスは新たな脅威ではないしかし、オトリオ氏によれば、「正面玄関から内部ネットワークへの横方向の移動の可能性は、前例のないシナリオです。」同社は、データ漏洩、ランサムウェア、その他の悪夢のようなシナリオを防ぐために、使用中の PACS の包括的なペネトレーション テストのレビューをセキュリティ チームに実施するよう求めています。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/ics-ot-security/physical-access-systems-open-cyber-door-it-networks
- :は
- :not
- 7
- a
- できる
- アクセス
- 従った
- NEW
- アドバンス
- また
- an
- アナリスト
- および
- どれか
- です
- AS
- At
- 障壁
- き
- 背後に
- の間に
- 違反
- 建物
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- チャネル
- コミュニケーション
- 複雑さ
- 包括的な
- 妥協
- プロフェッショナルな方法で
- 接続
- コントロール
- コントローラ
- 可能性
- サイバー
- データ
- 実証
- デバイス
- Devices
- 直接に
- によって
- ドア
- 間に
- 簡単に
- enable
- 可能
- 特に
- 確立する
- ヨーロッパ
- 流出
- 悪用する
- 施設
- 特徴
- 調査結果
- 会社
- フォーム
- 発見
- から
- フロント
- 利得
- ゲート
- 持っています
- 持ってる
- 認定条件
- HTML
- HTTPS
- 照らす
- in
- 組み込む
- 増える
- インストール
- 内部
- に
- 紹介する
- IP
- IT
- 自体
- ジェイコブ
- JPG
- 最新の
- 場所
- 措置
- 月
- 運動
- ネットワーク
- ネットワーク
- 新作
- of
- on
- 開いた
- or
- その他
- 私たちの
- 克服する
- パラドックス
- 物理的な
- 枢軸
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 可能性
- 潜在的な
- :
- プレゼンス
- 防ぐ
- ランサムウェア
- 読者
- 研究
- 研究者
- レビュー
- 右
- リスク
- リスク
- s
- 前記
- シナリオ
- シナリオ
- 安全に
- セキュリティ
- 敏感な
- シリアル
- セッション
- ウェブサイト
- ステートメント
- 首尾よく
- システム
- チーム
- 技術の
- その後
- ボーマン
- 彼ら
- この
- 〜へ
- 一般的に
- 無許可
- アンロック
- 前例のない
- 衝動
- つかいます
- 、
- 脆弱性
- 警告
- we
- WELL
- した
- which
- ゼファーネット