Tenable发布了楼宇管理系统中安全漏洞的详细信息

信息安全公司Tenable的研究人员透露，硬编码密码和其他未修补的漏洞可能使黑客有机会控制利用身份证识别的楼宇访问系统。尽管Tenable和美国计算机应急响应小组（US-CERT）将这些问题告知了供应商IDenticard，但它仍未发布补丁，甚至没有对研究人员的问题做出回应。

楼宇管理系统

一共有四个安全漏洞，影响到PremiSys楼宇门禁系统，这个系统是基于身份证识别开发的。有关这四个漏洞的详细信息已于2019年1月14日发布在Tenable安全公告中。

其中最严重的安全漏洞是CVE-2019-3906，根据Tenable公司的说法，PremiSys楼宇访问系统附带了一个管理员帐户的硬编码密码，“用户无法更改这些凭据，唯一的缓解措施是限制此端点的流量，但这可能会对应用程序本身的使用产生影响。攻击者可以使用这些凭据来转储PremiSys系统数据库的内容并将其修改或实施其他不受约束的访问任务。”研究人员补充道。

如果PremiSys服务器在线公开，攻击者可以使用用户名和密码访问建筑的ID卡管理系统，并引入恶意卡或完全禁用访问控制功能。

Shodan搜索显示只有少数系统连接到互联网，这是大多数公司楼宇门禁系统安全性的一个保障，但是，未连接到互联网的系统仍然可以被本地网络访问。

另外的三个漏洞，虽然不如第一个严重，但仍然存在危险，他们分别为：

CVE-2019-3907，使用已知弱加密方法存储用户凭据和其他敏感信息。

CVE-2019-3908，Identicard公司备份存储在受密码保护的ZIP文件中。

CVE-2019-3909，Identicard公司的服务使用默认数据库用户名和密码进行安装，用户必须在直接向供应商发送密码的情况下才能更改此密码，而攻击者可以使用这些已知凭据来访问数据库的敏感内容。

Tenable公司表示，这些漏洞会影响运行固件版本3.1.190的PremiSys系统，还可能影响其他系统。由于供应商Identicard公司未与Tenable公司研究团队或US-CERT团队合作，因此尚不清楚所报告的问题是否已修补。

根据Tenable公司网站显示，Identicard公司在全球拥有数万名客户，其中包括政府机构、500强企业、K-12学校、大学、医疗中心等。

研究人员建议该公司审查他们的PremiSys系统是否在线公开以及系统管理员如何访问PremiSys后端。Tenable公司建议道，“为了降低受到攻击的风险，用户应该对其网络进行细分，以确保像PremiSys这样的系统尽可能地与内部和外部威胁隔离开来”。