針對門控系統的攻擊面深度檢查
一、引言
近年來,許多企業出于對安全的考慮,開始逐步使用電腦化的門控系統:要求用戶擁有中央數據庫授權的口令或者刷卡,以確保那些沒有授權的人無法進入公司區域或者公司的受限區域。
沒有完美的系統,迄今為止大多的嘗試都圍繞著社工方面(諸如緊隨溜進)或者設法占有必要的令牌以繞過該套系統。
但是攻擊者通過利用門控系統自身的軟硬件弱點也是可以進入的。
在本篇文章里,我們將展示一款在門控系統市場領先產品的嚴重安全漏洞, 通過它們不僅能夠獲取安全場所的訪問權限,也可以獲取所在企業的機密信息。
這些弱點包括,但不限于:缺少默認配置密碼,無需認證的控制端口, 硬件缺少認證, 攻擊者對數據庫的可能拷貝, 利用緩沖區溢出攻擊造成的拒絕服務, 硬編碼的密鑰導致的可能性的欺騙。
為避免廠商解決問題期間可能的惡意攻擊, 我們不會指明哪家的門控系統有問題, 有些技術細節也做了處理。 我們期望待廠家解決這些問題之后,再發布一篇完整的文章,包括那些具體的細節。
我們試圖概述這些系統的安全問題, 而不是在某個點上深入研究, 所以進一步的研究綱要也是必須的。 在稍后的后續研究章節里有相關大綱。
通過該項研究, 我們建議有關機構應該盡可能的將他們的物理安全設備同網絡隔絕, 以最小化一個淪陷的系統對其他系統的突破。
二、背景
我們有一款門控系統, 由英國一家占有較大市場份額的廠商提供。 該系統包含兩部分——運行在微軟Windows機器上的軟件管理服務器; 一個定制的物理控制器,上面跑著一些軟件組件,以便連接到管理服務器上。
在研究期間, 我們試圖識別系統的痕跡, 發現系統上的弱點, 尤其是那些造成未授權訪問的。
三、門控制器
我們所檢測的這款門控制器是問題制造商的最新可用款, 因此可以對該類系統的現存風險做一個現實的評估。
每個控制器就是一個定制的硬件,由電池供電。 與兩塊門相連,每個都有一個進入時讀取器和一個鎖(必要時,出來的也有)。 同時還有一個輔助的輸入設備(用于輸入PIN碼), 一個輸出設備——用作門開之后的狀態顯示燈。
最重要的是,控制器連接到了管理服務器上。在老的款型中,通過串口連接, 但在新款里,還可通過IP進行連接,由一款流行的串口轉以太網的設備提供。
這個串口轉以太口的設備可通過web和telnet方式遠程管理, 在其默認的配置中, web接口和telnet訪問都沒有配置密碼。
控制器在其默認配置里提供了幾種連網服務。 下面我們將介紹其中所發現的漏洞:
控制端口
通過該控制端口可配置控制器。 雖然所用協議的具體細節尚未公布,但第三方的研究者已經在網上發布了一些相關信息。
它既不需要也不支持認證,指令可以通過UDP直接發送到目標主機或者廣播到廣播域里的所有設備。
特別的,如果web和telnet接口設置了密碼,一個Get配置請求被發送到該接口, 密碼就會被包含在響應中。 如果在控制面板里選擇了高級密碼選項,該情況就不會出現, 但在基本的默認配置下是這樣的。
即使沒有這一點,基本模式下的密碼也極其危險, 因為不能超過5個字符。
也可為控制器設置一個新的IP地址。這實際上就成了拒絕服務攻擊,因為管理服務器無法與控制器通信。 對于攻擊者,控制住控制器本身也是必須的, 因為串口到IP的轉換器只允許一個連接, 管理服務器也試圖保持持續的連接。 只有打斷管理服務器和控制器間的連接, 攻擊者才有可能控制住門。
一旦IP地址被更改了,就無法阻止門控系統被重新配置,系統可以被修改, 或者安裝新的軟件, 攻擊者可以獲取到對門的完全控制權。
四、管理服務器
在默認設置下,沒有開啟防火墻, 管理服務器在網絡上暴露了一些服務:
4.1 遠程配置服務
有個遠程配置端口, 但端口掃描即可使其崩潰, 所以它不是一直可見的。
一旦建立連接, 遠程配置服務器在讀取指令前,讀取4字節,用于創建緩沖區。 如果緩沖太大,程序就會崩潰——所以即使是無意的,也很容易就造成了拒絕服務。 但這并不允許遠程代碼的執行。
該程序使用了Windows的API調用,利用硬編碼的密鑰,對C/S間的傳送的數據進行加解密, 這就很容易對信息進行攔截、欺騙。 而這些信息本身是以人為可讀取的xml形式存在的。
4.2 數據庫管理程序
數據庫管理程序提供了網絡訪問,以便可以遠程的控制備份的開始和結束。 在沒有任何憑據的情況下,也可以輕松的訪問它,在攻擊者控制下的機器上創建數據庫的備份拷貝。
(對此的PoC已經開發出來了,但考慮到漏洞仍然存在,所以進行了裁剪處理)。
這樣一來, 攻擊者不但可以訪問到機密信息(比如員工的名字、PIN碼等),還可以與4.1節中提到的更改IP地址聯合使用。
一旦將數據庫導入到他們自己的控制軟件中,攻擊者就可以更改控制器的IP, 使其連到自己的服務器上。 這使得攻擊者獲取了對門的完全控制權,同時還允許授權用戶像往常一樣認證出入,不會引起啥懷疑。
進行逆向的結果表明,數據庫的管理員可以從備份中進行數據恢復——這意味著攻擊者可以可以用他們自己的版本對數據進行替換。 但在測試的這個版本中已經不再支持。 在早期的版本中,可能就存在這樣的漏洞。
攻擊者也可以阻止合法的備份——如果指定了一個錯誤的或者不可訪問的備份地址,備份任務就停留在隊列中,后續的任務會對其進行覆蓋。
4.3 其他軟件
一個獨立的軟件模塊(我們這里不會透露的,以防被識別利用),處理軟件和硬件間的通信。它維持持久的連接, 隨時記錄相關信息。
由于時間的限制,我們對其處理卡號的增刪所發送的消息未能進行完全的解碼, 但我們發現它對卡號僅是與一個常量進行異或運算來進行加密。
五、進一步研究的方向
鑒于軟件和硬件間的消息沒有時間戳處理, 所以可以對消息進行回放,將其發送到另一個門控器上,來增加卡號。 然而,要進行這樣的嘗試, 需要解析初始連接的握手協議, 這個目前還沒有成功實現。
我們同樣也注意到,軟件和硬件模塊間的通信包含了一個定期輪詢消息,每隔固定的時間間隔發送。少量的其他信息也重復的發送。 這些都有待于解析,但是很可能將來的研究會證明這些都是可預測的,也很容易模仿。
另一個可后續研究的方向是對高級密碼選項設置的密碼進行破解,以此獲取用戶帳號。
六、漏洞總結
默認配置
串口轉以太的設備上運行的web服務器沒有設置密碼。
控制端口未認證
無需密碼即可通過控制端口對設備的再配置。 沒有任何選項可以進行設置。
密碼獲取
Telnet 和web訪問的密碼在使用基本密碼模式時可以通過控制端口獲取到。
未認證的管理接口
在默認的管理服務中沒有設置密碼, 使得未授權用戶也可對管理服務器進行訪問。
拒絕服務
設備的IP地址可能被更改,導致管理口無法控制門或者查看信息。
設備侵占
沒有任何認證阻止對門控系統的再配置。 如果IP地址被更改了,攻擊者可通過安裝對門控系統重置、再配置。 這使得攻擊者獲得對門的完全控制權。
數據庫管理程序沒有認證
數據庫管理沒有認證, 允許攻擊備份到本地。
硬編碼的加密密鑰
遠程配置服務器用了一個硬編碼的加密密鑰, 攻擊者以此可以對傳送中的消息進行欺騙、解密。
對卡號的異或處理
在軟件和硬件間進行通信的軟件并沒有對卡號加密,僅是與一個常量的異或處理。
七、結論
雖然門控系統可以阻止一些初級的攻擊者,我們對一款領先品牌的檢測表明,即使使用一些相對簡單的攻擊技巧,也可以獲取到系統的控制權。更何況在強烈的攻勢之下呢,估計也就很少有用啦。
我們已經發現了系統中的一些漏洞,從用戶層面可更改的,到需要廠商來解決的更深層次的。 最為重要的是,控制端口、數據庫管理程序認證的缺失意味著攻擊者在不引起用戶注意的情況下就可以對門控系統進行完全的控制。
在該領域迫切的需要進一步的研究, 因為這份初級的報告表明許多的物理安全系統很難應對或者壓根不能應對有針對性的攻擊。
考慮到這一點,將物理安全系統同公司的網絡隔離是很必要的。攻擊者即使獲取到對的網絡一個很低的訪問權限,以很小的代價,就能獲取到對機構物理安全設備的整個控制權。
我們建議所有的物理安全系統————不僅僅是門控系統,還有像閉路電視,以及其他任何的可能影響建筑的物理安全的——都應該保證系統和網絡間的空隙。 在我們看來這是任何想保護其物理財產的機構至少要做的。
來源聲明:本文來自nccgroup的博文《Door Control Systems: An Examination of Lines of Attack》。
原文地址:https://www.nccgroup.com/en/blog/2013/09/door-control-systems-an-examination-of-lines-of-attack/
