荷兰IT安全咨询公司Modat发现,全球范围内部署的约49,000个访问管理系统(AMS)存在严重的安全漏洞。这些系统本应通过密码、生物识别和多因素认证等身份验证方法控制建筑物访问,然而却因关键配置错误导致敏感数据暴露,使设施面临未经授权进入的风险。
此次发现暴露了一个跨越多个领域的重大全球性安全威胁,涉及医疗、教育、制造、建筑、石油行业和政府机构等。
漏洞带来双重威胁
访问管理系统通过多种方法验证用户身份,并根据预定策略授权访问权限。当这些系统配置不当时,会带来双重威胁:一是未经授权的物理访问建筑物,二是未经授权的数字访问存储在系统中的敏感信息。
Heise Online的研究人员发现了大量案例,其中员工照片、全名、身份证号码、访问卡详细信息、生物识别数据、车辆牌照、工作安排甚至设施访问凭证等数据完全未受保护,潜在攻击者可以轻易获取。暴露的生物识别数据尤其令人担忧,因为与密码不同,这些信息一旦泄露便无法更改。
漏洞利用与地理分布
安全专家强调,此类暴露的数据为各种网络威胁提供了广泛的攻击面,包括钓鱼攻击、身份盗窃、社会工程攻击以及专门设计的欺诈计划,旨在从组织和个人中窃取更多敏感信息。
漏洞系统的地理分布显示出令人担忧的模式,其中欧洲、美国、中东和北非的漏洞系统最为集中。研究发现,意大利是受影响最严重的国家,拥有16,678个漏洞系统,其次是墨西哥(5,940个)和越南(5,035个)。印度排名第十,约有1,070个受影响的系统。值得注意的是,德国并未进入受影响最严重国家的前十名。
漏洞分析与修复建议
受影响系统中的身份验证协议揭示了导致可利用安全漏洞的一致错误配置模式。在典型的安全实施中,访问管理系统应使用类似于以下配置代码:access_protocol.biometric_data.storage = "encrypted"; remote_access.public_endpoints = FALSE; authentication.credential_exposure = "restricted";
然而,调查人员发现数以千计的系统采用了默认或不正确的设置,导致API端点和凭证数据库暴露在未经授权的查询中。对这些漏洞系统的连接请求通常会以未加密的格式返回敏感数据,而无需进行适当的身份验证挑战,这为即使是技术不高的攻击者提供了简单的利用途径。
修改几个配置参数即可修复许多这些漏洞,但系统管理员对安全最佳实践的普遍误解导致了这一全球性安全漏洞。
