Cisco Access Control Server (ACS)

Продукт
Разработчики: Cisco Systems
Технологии: ИБ - Биометрическая идентификация,  СКУД - Системы контроля и управления доступом

Интегрированная система безопасности дата-центра построена на базе программно-аппаратного комплекса Cisco Access Control (СКУД), основными компонентами которого являются сервер с программным обеспечением Cisco Physical Access Manager (Cisco PAM) и контроллеры, к которым подключены RFID- и биометрические считыватели, исполнительные устройства и другое оборудование.

2018:Опасная уязвимость в Cisco ACS

7 июня 2018 года стало известно, что эксперты Positive Technologies Михаил Ключников и Юрий Алейнов обнаружили критически опасную уязвимость в веб-интерфейсе сервера управления доступом Cisco ACS1. Недостаток безопасности позволяет неавторизованному атакующему выполнять произвольные команды на сервере от лица привилегированного пользователя.

Уязвимость CVE-2018-0253 получила оценку 9,8 балла по шкале CVSS v. 3.0, что означает критический уровень опасности. Если злоумышленник уже находится во внутренней сети, то он может изменять или собирать учетные данные пользователей сетевых устройств, атаковать другие ресурсы внутренней сети или проводить атаки «человек посередине». Если же веб-интерфейс Cisco ACS доступен из внешней сети, то эти действия могут проводиться из любой точки мира.

«
«При интеграции Cisco ACS с Microsoft Active Directory, что случается весьма часто, атакующий может украсть учетную запись администратора домена, а при менее благоприятных условиях (без интеграции с Active Directory) — получить контроль над роутерами и межсетевым экранами для прослушивания трафика всей сети (включая конфиденциальные данные) или доступ к закрытым сегментам сети, например процессингу в банке».
Михаил Ключников, специалист отдела анализа защищенности веб-приложений Positive Technologies
»

Проблема связана с некорректной обработкой сообщений протокола AMF3 на сервере. В составе сообщения AMF3 злоумышленник может передать специально подготовленный Java-объект в сериализованном виде. При десериализации этого объекта сервер загрузит вредоносный код из источника, указанного нарушителем, и выполнит его.

Уязвимости подвержены версии Cisco ACS, выпущенные до v5.8.0.32.7 (авторизация не требуется), а также v5.8.0.32.7 и v5.8.0.32.8 (требуется авторизация). Для устранения проблемы производитель рекомендует обновить сервер до версии 5.8.0.32.9 или более поздней.

Для выявления действий злоумышленников компания Positive Technologies предлагает использовать систему управления событиями информационной безопасности MaxPatrol SIEM. В апреле в MaxPatrol SIEM были добавлены 26 правил обнаружения инцидентов в Active Directory; службы каталогов Microsoft зачастую тесно интегрированы с Cisco ACS в корпоративных сетях и нередко являются главной мишенью атак.

Дополнительно для защиты от кибератак с использованием этой уязвимости может применяться межсетевой экран прикладного уровня PT Application Firewall, в котором реализованы защита от атак, связанных с десериализацией в Java, и поддержка протокола AMF.





Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Биолинк Солюшенс (BioLink Solutions) (134)
  Прософт Биометрикс (ProSoft Biometrics) (74)
  Индид, Indeed (ранее Indeed ID) (45)
  VisionLabs (ВижнЛабс) (34)
  Группа компаний ЦРТ (Центр речевых технологий) (31)
  Другие (452)

  Прософт Биометрикс (ProSoft Biometrics) (11)
  VisionLabs (ВижнЛабс) (7)
  Группа компаний ЦРТ (Центр речевых технологий) (5)
  РекФэйсис (4)
  Талмер (Talmer) (4)
  Другие (55)

  Индид, Indeed (ранее Indeed ID) (6)
  Goodt (Гудт) (2)
  NDBC - ЭнДиБиСи (ранее НТТ ДАТА Бизнес Солюшнс, itelligence Россия, Ителлидженс) (2)
  VisionLabs (ВижнЛабс) (2)
  ВидеоМатрикс (Videomatrix) (2)
  Другие (21)

  Индид, Indeed (ранее Indeed ID) (7)
  Сбербанк (7)
  Сканпорт АйДи (Scanport) (6)
  VisionLabs (ВижнЛабс) (4)
  АйТи Бастион (3)
  Другие (15)

  Сбербанк (5)
  Сканпорт АйДи (Scanport) (2)
  Voca-Tech (Вока-Тек) (1)
  Группа компаний ЦРТ (Центр речевых технологий) (1)
  Индид, Indeed (ранее Indeed ID) (1)
  Другие (3)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Биолинк Солюшенс (BioLink Solutions) (9, 140)
  Прософт Биометрикс (ProSoft Biometrics) (18, 84)
  VisionLabs (ВижнЛабс) (26, 50)
  Индид, Indeed (ранее Indeed ID) (1, 45)
  Группа компаний ЦРТ (Центр речевых технологий) (14, 39)
  Другие (360, 307)

  Прософт Биометрикс (ProSoft Biometrics) (7, 11)
  VisionLabs (ВижнЛабс) (2, 8)
  Группа компаний ЦРТ (Центр речевых технологий) (2, 6)
  РекФэйсис (2, 4)
  Ростелеком (4, 3)
  Другие (23, 33)

  Индид, Indeed (ранее Indeed ID) (1, 6)
  ABC Solutions (Эй Би Си Солюшенс) (1, 3)
  Goodt (1, 3)
  VisionLabs (ВижнЛабс) (2, 2)
  ВидеоМатрикс (Videomatrix) (1, 2)
  Другие (9, 9)

  Сбербанк (3, 8)
  Индид, Indeed (ранее Indeed ID) (1, 7)
  VisionLabs (ВижнЛабс) (3, 6)
  Shenzhen Chainway Information Technology (1, 6)
  АйТи Бастион (1, 3)
  Другие (6, 6)

  Сбербанк (1, 5)
  Shenzhen Chainway Information Technology (1, 2)
  Группа компаний ЦРТ (Центр речевых технологий) (1, 1)
  Voca-Tech (Вока-Тек) (1, 1)
  Индид, Indeed (ранее Indeed ID) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  BioLink BioTime - 177 (123, 54)
  Indeed Access Manager (Indeed AM) - 45 (45, 0)
  VisionLabs Luna - 40 (24, 16)
  Biosmart Studio - 36 (36, 0)
  СКУД BioSmart - 27 (27, 0)
  Другие 292

  VisionLabs Luna - 10 (5, 5)
  BioSmart PV‑WTC Терминал - 4 (4, 0)
  Biosmart Studio - 4 (4, 0)
  Voice2Med Система распознавания речи в медицине - 4 (4, 0)
  Goodt (Ранее ZoZo RCAM, Revenue&Costs Assurance Management) - 3 (3, 0)
  Другие 33

  Indeed Access Manager (Indeed AM) - 6 (6, 0)
  Goodt (Ранее ZoZo RCAM, Revenue&Costs Assurance Management) - 3 (3, 0)
  VisionLabs Luna - 2 (1, 1)
  Vmx SILA: HSE - 2 (2, 0)
  Smart Meal Service: Lunch fastPass Робот-кассир - 1 (1, 0)
  Другие 5

  Indeed Access Manager (Indeed AM) - 7 (7, 0)
  Shenzhen Chainway C-серия RFID-считывателей - 6 (6, 0)
  Сбербанк: Система оплаты по улыбке - 5 (5, 0)
  VisionLabs Luna - 4 (2, 2)
  АйТи Бастион: СКДПУ НТ Система контроля действий поставщиков ИТ-услуг - 3 (3, 0)
  Другие 4

  Сбербанк: Система оплаты по улыбке - 5 (5, 0)
  Shenzhen Chainway C-серия RFID-считывателей - 2 (2, 0)
  Indeed Access Manager (Indeed AM) - 1 (1, 0)
  Voca Tech: Система автоматизированного контроля сотрудников для выполнения стандартов обслуживания - 1 (1, 0)
  Другие 0

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Прософт Биометрикс (ProSoft Biometrics) (31)
  Eselta (ПетерСофт) (17)
  Вокорд (Vocord) (13)
  PERCo (10)
  Сканпорт АйДи (Scanport) (9)
  Другие (268)

  Талмер (Talmer) (4)
  Visa International (2)
  VisionLabs (ВижнЛабс) (2)
  Добротех (2)
  Сбербанк (2)
  Другие (17)

  Космические коммуникации (КосКом) (1)
  Другие (2)

  Сканпорт АйДи (Scanport) (6)
  ОКТРОН (3)
  Сбербанк (2)
  VisionLabs (ВижнЛабс) (2)
  Инфосистемы Джет (1)
  Другие (4)

  Сканпорт АйДи (Scanport) (2)
  Т2 (Т2 Мобайл, Т2 РТК Холдинг) ранее Tele2 (1)
  Электронные системы (ЭЛСИ) (1)
  ОКТРОН (1)
  Другие (0)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Прософт Биометрикс (ProSoft Biometrics) (3, 37)
  Eselta (ПетерСофт) (1, 16)
  Ай-Ти Технологии XXI век (3, 15)
  Вокорд (Vocord) (1, 13)
  Shenzhen Chainway Information Technology (1, 12)
  Другие (267, 153)

  Ростелеком (2, 2)
  Свизитом (Svisitom) (1, 2)
  ISS (Intelligent Security Systems) Интеллектуальные системы безопасности (1, 2)
  ГазИнтех (1, 1)
  Прософт Биометрикс (ProSoft Biometrics) (1, 1)
  Другие (6, 6)

  Космические коммуникации (КосКом) (1, 1)
  Другие (0, 0)

  Shenzhen Chainway Information Technology (1, 6)
  Сбербанк (1, 2)
  VisionLabs (ВижнЛабс) (1, 2)
  Метрика Б (1, 1)
  CyberPeak (СайберПик) (1, 1)
  Другие (0, 0)

  Shenzhen Chainway Information Technology (1, 2)
  Электронные системы (ЭЛСИ) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  СКУД BioSmart - 28 (27, 1)
  ИСБ Eselta - 16 (16, 0)
  Vocord FaceControl - 13 (13, 0)
  Shenzhen Chainway C-серия RFID-считывателей - 12 (12, 0)
  СКУД Gate - 11 (11, 0)
  Другие 157

  SecurOS - 2 (2, 0)
  Свизитом: Эксплуатация и обслуживание зданий - 2 (2, 0)
  SITA Smart Path - 1 (1, 0)
  Микрон: Электронная проходная - 1 (1, 0)
  ГазИнТех: Сапсан Автоматическая система паспортного контроля (АСПК) - 1 (1, 0)
  Другие 5

  КосКом: Цифровая школа - 1 (1, 0)
  Другие 0

  Shenzhen Chainway C-серия RFID-считывателей - 6 (6, 0)
  Сбер и VisionLabs: Мобильная биометрическая система контроля доступа на базе ИИ - 2 (2, 0)
  Метрика Б: Inoface - 1 (1, 0)
  Другие 0

  Shenzhen Chainway C-серия RFID-считывателей - 2 (2, 0)
  Другие 0