Onderzoekers vinden lek in AMAG's sleutelloze deuren
Onderzoekers van SecureWorks hebben twee beveiligingslekken gevonden in de sleutelloze deurcontrollers van fabrikant AMAG.
Een van de beveiligingslekken maakte het mogelijkheid om willekeurige ID-badges toe te voegen aan de database van de deurcontroller. Dit is mogelijk omdat de encryptie in de standaard setup van de controllers niet staat ingeschakeld. Op deze manier kan er ongeautoriseerd toegang worden verkregen tot allerlei beveiligde deuren. Aanvallers kunnen zo willekeurige badge-gegevens aan het systeem toevoegen. De aanvaller kan zowel een werknemer zijn als een extern iemand die het pand in wil komen.
Het andere beveiligingslek bevindt zich in twee IP-gebaseerde deurcontrollers. Door het versturen van ongeauthenticeerde verzoeken via seriële communicatie over TCP/IP kunnen beveiligde deuren op afstand geopend en gesloten worden.
Meer informatie is te lezen in dit rapport.