Urządzenie Access Manager 92xx w rewizji sprzętowej K7 posiada dwa konta użytkowników z zakodowanymi na stałe (hardcoded) i słabymi hasłami, umożliwiającymi nieautoryzowany dostęp przez SSH na porcie 22. Mechanizm randomizacji hasła jest nieskuteczny w pewnych okolicznościach, co sprawia, że urządzenia mogą pozostawać trwale narażone.
▸ Pokaż oryginał (EN)
The Access Manager 92xx in hardware revision K7 is based on Linux instead of Windows CE embedded in older hardware revisions. In this new hardware revision it was noticed that an SSH service is exposed on port 22. By analyzing the firmware of the devices, it was noticed that there are two users with hardcoded and weak passwords that can be used to access the devices via SSH. The passwords can be also guessed very easily. The password of at least one user is set to a random value after the first deployment, with the restriction that the password is only randomized if the configured date is prior to 2022. Therefore, under certain circumstances, the passwords are not randomized. For example, if the clock is never set on the device, the battery of the clock module has been changed, the Access Manager has been factory reset and has not received a time yet.
Urządzenie Access Manager 92xx (K7) działa na systemie Linux i udostępnia usługę SSH na porcie 22. W firmware wykryto dwa konta z hardcoded i łatwymi do odgadnięcia hasłami. Jeden z użytkowników ma hasło zmieniane na wartość losową po pierwszym wdrożeniu, jednak randomizacja następuje wyłącznie wtedy, gdy skonfigurowana data systemowa jest wcześniejsza niż rok 2022. Jeśli zegar urządzenia nigdy nie został ustawiony, bateria modułu zegara została wymieniona, urządzenie zostało zresetowane do ustawień fabrycznych lub nie otrzymało jeszcze synchronizacji czasu — hasła nie są randomizowane i pozostają wartościami domyślnymi.
Atakujący z dostępem sieciowym do portu 22 może zalogować się na urządzenie przy użyciu znanych lub łatwych do odgadnięcia haseł, uzyskując nieautoryzowany dostęp do systemu operacyjnego urządzenia kontroli dostępu — co może prowadzić do przejęcia kontroli nad infrastrukturą fizycznej ochrony.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zalecane jest również natychmiastowe ograniczenie dostępu sieciowego do portu 22 (SSH) na poziomie firewall lub segmentacji sieci oraz weryfikacja i ręczna zmiana haseł na wszystkich urządzeniach, których zegar nie był prawidłowo skonfigurowany lub które przeszły reset fabryczny.
dormakaba Access Manager 92xx w rewizji sprzętowej K7 z oprogramowaniem opartym na systemie Linux
Podatność została odkryta i opublikowana przez SEC Consult (referencja: https://r.sec-consult.com/dkaccess). Problem dotyczy wyłącznie nowej rewizji sprzętowej K7 opartej na Linux — starsze rewizje oparte na Windows CE embedded nie są narażone w ten sam sposób. CWE-1391 odnosi się do użycia słabych danych uwierzytelniających.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X