Gemalto усунула вразливості, знайдені у Sentinel LDK експертом Positive Technologies. Рішення допомагає забезпечити захист програмних продуктів від копіювання та дає можливість організувати процес їхнього ліцензування.

Уразливості знайдені в сервері системи Sentinel EMS, яка є частиною Sentinel LDK і дає можливість розробнику керувати ліцензуванням, а також продажем захищеного ПЗ.

Недоліки безпеки дозволяють зловмиснику заволодіти обліковим записом легітимного користувача сервера Sentinel EMS, який виписує ліцензії на ПЗ, що залишається, що залишає потенційну можливість тиражування контрафактної продукції.

У деяких випадках порушник може віддалено перехопити доступ до облікового запису легітимного користувача сервера Sentinel EMS server або перенаправити його браузер на шкідливий сайт за допомогою XSS-атаки або заміни вмісту сторінки (content spoofing), а також прочитати довільні файли на сервері (наприклад, паролі від інших сервісів) за допомогою XXE-атаки.

Для усунення виявлених уразливостей рекомендується встановити відповідні оновлення, випущені компанією Gemalto за номерами 20170626_1 та 20170819.

Виробник Sentinel LDK — компанія SafeNet — неодноразово входила до лідерів магічного квадранта Gartner в галузі засобів аутентифікації. У 2014 році SafeNet приєдналася до Gemalto.

За останні два роки фахівці Positive Technologies виявили ще кілька вразливостей у засобах захисту. У 2017 році в ході аудиту захищеності банкомату виявив вразливість у Kaspersky Embedded Systems Security. У тому ж році було знайдено спосіб непомітно зупинити виявлення шкідливої ​​активності системою виявлення вторгнень Suricata IDS. Крім того, у 2016 році Intel Security подякувала за виявлення небезпечної вразливості у захисній системі McAfee Solidcore.