Share

Tim keamanan dari Acronis, perusahaan teknologi global, menemukan banyak celah keamanan yang ditemukan pada produk pemindai sidik jari dan akses kontrol asal Tiongkok, GeoVision. Untuk kasus tersebut, GeoVision mengklaim telah melakukan perbaikan sejumlah kerentanan kritis tersebut.

Seperti diberitakan cyberthreat.id, Acronis menemukan empat kerentanan penting pada perangkat GeoVision yang memungkinkan penyerang mendapatkan akses penuh dan tidak sah ke produk-produk GeoVision, termasuk pemindai sidik jari biometrik, kamera pengintai (CCTV) dan perangkat Internet of Things (IoT) lainnya.

Acronis mempublikasikan sejumlah kerentanan keamanan yang ditemukannya, seperti CVE-2020-3928, CVE-2020-3930 dan CVE-2020-3929. Celah keamanan itu meliputi kerentanan buffer overflow, kunci kriptografi, eksposur log hingga kerentanan kata sandi "root" hardcoded - dimana perangkat IoT memiliki kata sandi default (username: admin dan password: admin) yang memudahkan peretas masuk ke dalam halaman admin.

"Kerentanan itu memungkinkan peretas untuk membuat] pintu belakang (backdoor) dengan hak istimewa admin, menggunakan kembali kunci kriptografi dan pengungkapan kunci pribadi untuk semua orang. Semua kerentanan ini memungkinkan penyerang yang disponsori negara untuk mencegat lalu lintas," kata Acronis dalam laporan terbarunya.

Lebih parahnya, kerentanan keamanan juga memungkinkan peretas untuk memata-matai pengguna atau bahkan mencuri data sidik jari pengguna GeoVision.

"Dengan menggunakan kerentanan ini, penyerang dari jarak jauh bisa membuka pintu tanpa kunci, menginstal trojan pada perangkat itu, membangun jaringan mereka, memata-matai pengguna internal dan mencuri sidik jari dan data lainnya, semuanya tanpa pernah terdeteksi," ungkap Acronis.

Data sidik jari memainkan peran vital dalam hal autentikasi atau verifikasi. Sebab, data biometrik tersebut dapat digunakan peretas untuk membuka kunci perangkat pribadi, pencurian data pribadi lainnya, dan sebagainya.

Acronis pertama kali menginformasikan celah keamanan itu ditemukan pada Agustus 2019. Baru sepuluh bulan kemudian kerentanan diperbaiki oleh GeoVision. "Ketika produsen keamanan mengetahui kerentanan kritis pada perangkat mereka, ada harapan mereka akan bertindak cepat untuk memperbaiki masalah. Namun, Agustus 2019 menjadi yang pertama dari beberapa bulan ketika Acronis dengan sabar menunggu pembaruan dari satu produsen," tulis Acronis.

Acronis menambahkan, belum semua kerentanan keamanan yang diinformasikan telah diperbaiki oleh GeoVision. Namun, ada sejumlah pembaruan firmware yang telah dirilis oleh GeoVision.

Mengingat kerentanan yang ditemukan bersifat kritis, seluruh pengguna GeoVision diharapkan untuk memperbarui patch firmware yang telah dirilis oleh GeoVision untuk menutup celah keamanannya.

Related Articles

CCTV Card image cap
  denny  27 April 2018
 27 April 2018
News Card image cap
News Card image cap
  denny  30 March 2020
 30 March 2020
© 2019 Indo Security System. All Rights Reserved.