暑期实习生会看到访客管理系统中的漏洞

对于业务经理而言，目标可能是找到一种技术驱动的流程，以保护场所，员工和访客的安全性。访客管理系统不仅可以执行签到，还可以控制对受限区域的访问。

IBM X-Force Red研究负责人丹尼尔克劳利说：“友好的接待员或保安人员正在被信息亭取代，这是一项大生意，预计到2025年销售额将超过13亿美元。” X-Force Red?这些硬汉是谁?从某种意义上说，是的。这是IBM Security中的一个黑客团队。他们确实试图闯入。他们的工作是发现犯罪分子可能使用的漏洞。

因此，如果企业可能有兴趣寻找访问者检查系统，那么他们最好找到的东西不仅仅是数字日志。他们是否找到了他们需要的东西并且他们的选择安全吗 X-Force Red闻到了一些错误。攻击者可以窃取您的数据。攻击者可以冒充你。

登录信息亭(企业和设施的门户网站)可能容易受到数据间谍攻击。 Threatpost对标题的选择并不温和：“访客自助服务终端系统陷入困境。”

两名X-Force Red暑期实习生在五个受欢迎的访客管理系统中发现了19个先前未公开的漏洞。

当团队开始测试访客管理系统时，Threatpost提供了一些关于测试目标的有趣信息。

“其中一个是，如果没有任何真实的识别信息，作为访问者办理登机手续是多么容易。其次，我们开始着眼于从系统中获取其他人的信息是多么容易。第三，是否有攻击者可以突破应用程序的方式，导致它崩溃或让任意代码执行在目标设备上运行并获得立足点来攻击企业网络。“

克劳利报告了SecurityIntelligence的调查结果：个人和公司数据的信息披露; 几个应用程序有默认管理凭据; 漏洞允许攻击者使用Windows热键和标准帮助或打印对话框来打破自助服务终端环境并与Windows交互，这样攻击者就可以使用与给定软件相同的权限控制系统。

一些登记系统事件是否还在等待?周一连线的 Lily Hay Newman 提出了一些似乎并不复杂的情景，如果一个人希望做恶意的话。她说，“黑客可以通过设置自动泄露数据或安装远程访问恶意软件的USB棒等工具轻松接近访客管理系统。”

此外，“虽然攻击速度越快越好，”她写道，“在没有任何怀疑的情况下站在登录亭几分钟就相对容易了。”

Wired周一表示，两人发现的缺陷大部分都是打补丁的。

克劳利在“ 连线 ”杂志中说：“这有点像表面上那样的东西。” 他补充说，如果在短短几周内看到这些漏洞，它就说“在这些关键且相互关联的系统上还有其他可能潜伏的东西。”

接下来是什么：X-Force Red团队“提前向受影响的供应商提供了漏洞详细信息，以便有时间在本出版物之前开发和发布官方修复，”克劳利说。“一些供应商已经更新了他们的软件，或计划对功能进行适当的修改。”

TechNadu表示，一些公司称用户数据从未处于危险之中。

克劳利在SecurityIntelligence的文章也提到了建议。

建议包括：加密一切。“应始终在公众可访问的任何系统上使用全盘加密。” 他说全盘加密已经成为iOS设备的常态。此外，他说如果访客管理系统不需要网络访问才能运行，则不应该连接到网络。