【CNMO新聞】信息安全公司Tenable的研究人員透露，硬編碼密碼和其他未修補的漏洞可能使黑客有機會控制利用身份證識別的樓宇訪問系統。儘管Tenable和美國計算機應急響應小組（US-CERT）將這些問題告知了供應商IDenticard，但它仍未發佈補丁，甚至沒有對研究人員的問題做出回應。

樓宇管理系統

一共有四個安全漏洞，影響到PremiSys樓宇門禁系統，這個系統是基於身份證識別開發的。有關這四個漏洞的詳細信息已於2019年1月14日發佈在Tenable安全公告中。

其中最嚴重的安全漏洞是CVE-2019-3906，根據Tenable公司的說法，PremiSys樓宇訪問系統附帶了一個管理員帳戶的硬編碼密碼，“用戶無法更改這些憑據，唯一的緩解措施是限制此端點的流量，但這可能會對應用程序本身的使用產生影響。攻擊者可以使用這些憑據來轉儲PremiSys系統數據庫的內容並將其修改或實施其他不受約束的訪問任務。”研究人員補充道。

如果PremiSys服務器在線公開，攻擊者可以使用用戶名和密碼訪問建築的ID卡管理系統，並引入惡意卡或完全禁用訪問控制功能。

Shodan搜索顯示只有少數系統連接到互聯網，這是大多數公司樓宇門禁系統安全性的一個保障，但是，未連接到互聯網的系統仍然可以被本地網絡訪問。

另外的三個漏洞，雖然不如第一個嚴重，但仍然存在危險，他們分別爲：

CVE-2019-3907，使用已知弱加密方法存儲用戶憑據和其他敏感信息。

CVE-2019-3908，Identicard公司備份存儲在受密碼保護的ZIP文件中。

CVE-2019-3909，Identicard公司的服務使用默認數據庫用戶名和密碼進行安裝，用戶必須在直接向供應商發送密碼的情況下才能更改此密碼，而攻擊者可以使用這些已知憑據來訪問數據庫的敏感內容。

Tenable公司表示，這些漏洞會影響運行固件版本3.1.190的PremiSys系統，還可能影響其他系統。由於供應商Identicard公司未與Tenable公司研究團隊或US-CERT團隊合作，因此尚不清楚所報告的問題是否已修補。

根據Tenable公司網站顯示，Identicard公司在全球擁有數萬名客戶，其中包括政府機構、500強企業、K-12學校、大學、醫療中心等。

研究人員建議該公司審查他們的PremiSys系統是否在線公開以及系統管理員如何訪問PremiSys後端。Tenable公司建議道，“爲了降低受到攻擊的風險，用戶應該對其網絡進行細分，以確保像PremiSys這樣的系統儘可能地與內部和外部威脅隔離開來”。