Dormakabaの物理アクセス制御システムで研究者が発見した脆弱性により、ハッカーが主要組織のドアを遠隔で開けられる可能性があった。
このセキュリティ上の欠陥は、Atos傘下のEvidenに属するサイバーセキュリティ・コンサルティング企業SEC Consultの専門家により、DormakabaのExos中央管理ソフトウェア、ハードウェアのアクセスマネージャー、そしてキーパッド、指紋リーダー、またはチップカードによる入室を可能にする登録ユニットで発見された。
ハードコードされた認証情報や暗号化キー、弱いパスワード、認証の欠如、安全でないパスワード生成、ローカル権限昇格、データ露出、パストラバーサル、コマンドインジェクションなど、複数種類の脆弱性が特定された。
脆弱性のある製品は主に欧州の大企業で使用されており、産業企業、エネルギー供給事業者、物流企業、空港運営会社などが含まれる。
SEC Consultの研究者が特定した欠陥が悪用されると、脅威アクターがドアを直接解錠したり、アクセス用PINを入手したり、侵害された環境内でさらなる攻撃を実行したりできた可能性がある。
「数千の顧客が影響を受ける可能性があり、そのうちの一部は高いセキュリティ要件を有していました」とDormakabaはSecurityWeekに語った。
合計で20件を超える脆弱性が発見され、ベンダーに報告された。ベンダーは過去1年半にわたり、パッチおよびハードニングガイドラインの提供に取り組んできた。
Dormakabaはまた、主要顧客と協力し、同社のアクセスシステムがもはや脆弱ではないことを確実にするための対応も進めてきた。
ベンダーによれば、「脆弱性を悪用するには、攻撃者が顧客固有のインフラ(ネットワークまたはハードウェア)への事前アクセスを必要とします。その結果、悪用は顧客自身の保護されたネットワーク内部からのみ可能です」。
しかしSEC Consultは、インターネットに公開された脆弱なシステムを数十件特定しており、ハッカーがウェブ経由で直接ドアを開ける目的で標的にできた可能性がある。
Dormakabaは、「特定された脆弱性が悪用された事例は把握していない」と述べた。
同サイバーセキュリティ企業は、特別に細工したリクエストを用いて攻撃者が脆弱性を悪用し、ドアを開ける方法を示す動画を公開した:
