不少人都非常注重建筑安全性,乃至进入大楼或者重要房间都需要刷卡(或者刷指纹),这些措施从表面上看为人们带来了安全感,但事实真的如此吗?最近PremiSys门禁访问控制系统中的多个零日漏洞似乎冲淡了人们本就不多的“安全感”。
PremiSys是由IDenticard开发的建筑安全系统,它的关键管理功能依赖于硬编码和难以更改的默认凭证。这不仅威胁到门控制和访问限制的完整性,而且系统还收集了详细的设施数据,并与视频监控系统集成——反过来引发了数据泄漏/侦察响亮以及物理安全问题。
发现漏洞的Tenable多次尝试与与IDenticard沟通合作,但无济于事,供应商始终对此沉默。为期90天的披露期于1月3日结束,因此研究团队公开了未修补的问题,他们还通知了计算机应急响应小组(CERT)。Tenable告诉媒体,截至撰写说明文章时,供应商仍未做出回应。
经确认,这些漏洞在PremiSys IDenticard的3.1.190版本中存在,甚至还可能存在于最新版本中(因为供应商没有响应测试副本的请求),所以系统的安全配置文件目前还不清楚。
恶意访问控制
Tenable发现的最令人担忧的缺陷是CVE-2019-3906,它与硬编码凭证有关,可以为整个shebang提供远程管理员访问权限。
该系统使用名为PremiSys Windows Communication Foundation(WCF)的服务,允许客户为人员创建自定义ID卡,从而管理特定房间或建筑物区域的访问级别,以及与其他系统连接并远程管理ID读取器和类似设备。
“用户不得更改这些凭据,攻击者可以使用这些凭据转储Badge系统数据库的内容,修改内容或不受限制地访问他各种任务。”
根据Tenable的高级研究工程师Jimi Sebree的说法,在现实场景中,这允许攻击者利用本质上是硬编码的后门。使得攻击者可以将新用户添加到Badge系统,拥有修改现有用户,删除用户,分配权限以及几乎任何其他管理功能。
如果攻击者想要实际进入建筑物,他们可以为自己创建一个新身份,以便获得安全保障。他们还可以根据需要禁用锁定,或者让自己进入他们通常无法访问的建筑物区域。幸运的是,默认凭证暂时无法在网上找到,不过一旦攻击者发现它们,就可以在任何拥有此系统的组织中使用它们。
其他漏洞
其他缺陷略微不那么严重,但仍然令人担忧。例如,CVE-2019-3908必须使用不同的硬编码密码进行备份。报告称:“Identicard备份以idbak格式存储,它看起来只是一个受密码保护的zip文件。”解压内容的密码硬编码到应用程序中('ID3nt1card ')。攻击者可以使用这些信息克隆现有的徽章来构建访问权限。
第三个缺陷CVE-2019-3907的基础则是:用户凭证和其他敏感信息使用已知的弱加密方法(Base64 encoded MD5 hashes – salt + password)存储,这可以打开数据泄漏的大门,能够通过网络横向移动,比如访问视频监控系统或其他信息。
最后,CVE-2019-3909与使用难以更改的默认数据库凭据有关,这可以提供对服务数据库的完全访问权限。用户无法在不向供应商直接发送自定义密码的情况下更改此密码,以便接收要在其配置中使用的加密变体。更糟糕的是,默认值众所周知。
Sebree告诉媒体,只有一些硬编码的凭证可以在网上找到,WCF凭证在网上找不到,但是默认的数据库凭证可以在供应商文档中找到。攻击者可以使用预设的数据库用户名和密码组合“PremisysUsr/ID3nt1card”(也有使用“ID3nt1cardID3nt1card”来满足较长的密码标准的说明)访问数据库的敏感内容,如构建调查数据或入口日志。Malefactors还可以修改或删除数据库的内容(例如,某人可以删除某个门在某个时间被访问的证据)。
缓解措施
专家表示,在没有供应商补丁的情况下,缓解措施的力度是非常有限的,但用户仍然可以参考以下建议尽量降低潜在的损失:首先,终端用户应该确认这些系统没有连接到互联网,其次应对其网络进行分段,以确保像PremiSys这样的系统尽可能地与内部和外部威胁隔离开。
网友评论