PremiSys门禁系统存在多个零日漏洞

不少人都非常注重建筑安全性，乃至进入大楼或者重要房间都需要刷卡（或者刷指纹），这些措施从表面上看为人们带来了安全感，但事实真的如此吗？最近PremiSys门禁访问控制系统中的多个零日漏洞似乎冲淡了人们本就不多的“安全感”。

PremiSys是由IDenticard开发的建筑安全系统，它的关键管理功能依赖于硬编码和难以更改的默认凭证。这不仅威胁到门控制和访问限制的完整性，而且系统还收集了详细的设施数据，并与视频监控系统集成——反过来引发了数据泄漏/侦察响亮以及物理安全问题。

发现漏洞的Tenable多次尝试与与IDenticard沟通合作，但无济于事，供应商始终对此沉默。为期90天的披露期于1月3日结束，因此研究团队公开了未修补的问题，他们还通知了计算机应急响应小组（CERT）。Tenable告诉媒体，截至撰写说明文章时，供应商仍未做出回应。

经确认，这些漏洞在PremiSys IDenticard的3.1.190版本中存在，甚至还可能存在于最新版本中（因为供应商没有响应测试副本的请求），所以系统的安全配置文件目前还不清楚。

恶意访问控制

Tenable发现的最令人担忧的缺陷是CVE-2019-3906，它与硬编码凭证有关，可以为整个shebang提供远程管理员访问权限。

该系统使用名为PremiSys Windows Communication Foundation（WCF）的服务，允许客户为人员创建自定义ID卡，从而管理特定房间或建筑物区域的访问级别，以及与其他系统连接并远程管理ID读取器和类似设备。

“用户不得更改这些凭据，攻击者可以使用这些凭据转储Badge系统数据库的内容，修改内容或不受限制地访问他各种任务。”

根据Tenable的高级研究工程师Jimi Sebree的说法，在现实场景中，这允许攻击者利用本质上是硬编码的后门。使得攻击者可以将新用户添加到Badge系统，拥有修改现有用户，删除用户，分配权限以及几乎任何其他管理功能。

如果攻击者想要实际进入建筑物，他们可以为自己创建一个新身份，以便获得安全保障。他们还可以根据需要禁用锁定，或者让自己进入他们通常无法访问的建筑物区域。幸运的是，默认凭证暂时无法在网上找到，不过一旦攻击者发现它们，就可以在任何拥有此系统的组织中使用它们。

其他漏洞

其他缺陷略微不那么严重，但仍然令人担忧。例如，CVE-2019-3908必须使用不同的硬编码密码进行备份。报告称:“Identicard备份以idbak格式存储，它看起来只是一个受密码保护的zip文件。”解压内容的密码硬编码到应用程序中('ID3nt1card ')。攻击者可以使用这些信息克隆现有的徽章来构建访问权限。

第三个缺陷CVE-2019-3907的基础则是：用户凭证和其他敏感信息使用已知的弱加密方法（Base64 encoded MD5 hashes – salt + password）存储，这可以打开数据泄漏的大门，能够通过网络横向移动，比如访问视频监控系统或其他信息。

最后，CVE-2019-3909与使用难以更改的默认数据库凭据有关，这可以提供对服务数据库的完全访问权限。用户无法在不向供应商直接发送自定义密码的情况下更改此密码，以便接收要在其配置中使用的加密变体。更糟糕的是，默认值众所周知。

Sebree告诉媒体，只有一些硬编码的凭证可以在网上找到，WCF凭证在网上找不到，但是默认的数据库凭证可以在供应商文档中找到。攻击者可以使用预设的数据库用户名和密码组合“PremisysUsr/ID3nt1card”(也有使用“ID3nt1cardID3nt1card”来满足较长的密码标准的说明)访问数据库的敏感内容，如构建调查数据或入口日志。Malefactors还可以修改或删除数据库的内容(例如，某人可以删除某个门在某个时间被访问的证据)。

缓解措施

专家表示，在没有供应商补丁的情况下，缓解措施的力度是非常有限的，但用户仍然可以参考以下建议尽量降低潜在的损失：首先，终端用户应该确认这些系统没有连接到互联网，其次应对其网络进行分段，以确保像PremiSys这样的系统尽可能地与内部和外部威胁隔离开。