X-Force Red在五大訪客管理系統發現19個安全漏洞

IBM旗下資安團隊X-Force Red的兩名實習生在檢驗了市場上基於Kiosk的五大訪客管理系統之後，揭露了19個安全漏洞，將允許駭客冒領識別證、入侵企業內部網路，或是察看其他的訪客紀錄。

有愈來愈多的企業以互動式的資訊服務站（Kiosk）來管理進出企業的訪客，這些執行訪客管理系統的Kiosk能夠認證訪客並提供識別證。

不過，在X-Force Red實習的Hannah Robbins及Scott Brink卻在市場上的五大訪客管理系統中找出安全漏洞，他們檢驗的系統包括Jolly的Lobby Track Desk、HID Global的EasyLobby Solo、Threshold Security的eVisitorPass、Envoy的Envoy Passport，以及The Receptionist的同名裝置，發現它們分別含有7個、4個、5個、2個及1個安全漏洞。

整體而言，上述漏洞主要涉及資料外洩、權限擴張及取得Kiosk的控制權，有可能會頒發有效的訪客識別證予不明駭客，或是藉由Kiosk入侵企業內部系統，以及取得其他訪客的資料。

X-Force Red團隊建議，這些載入訪客管理系統的Kiosk通常安裝在戶外，由於它們扮演著企業安全的角色，理應於產品開發的生命周期中考慮到安全性，包括系統安全與硬體上的安全。