[ News] 一家信息安全公司的研究人员透露，硬编码密码和其他未修补的漏洞可能使黑客有机会控制使用身份证识别的建筑物访问系统。尽管美国计算机应急响应小组 (US-CERT) 将问题通知了供应商，但它尚未发布补丁，甚至还没有回应研究人员的问题。

楼宇管理系统

基于身份证识别开发的楼宇门禁系统共有四个安全漏洞。有关这四个漏洞的详细信息已在 2019 年 1 月 14 日的安全公告中发布。

最严重的安全漏洞是 CVE-2019-3906，据该公司称，楼宇门禁系统带有一个管理员帐户的硬编码密码，“用户无法更改这些凭据，唯一的缓解措施是限制到此的流量端点，但这可能会对应用程序本身的使用产生影响。攻击者可以使用这些凭据转储系统数据库的内容并对其进行修改或执行其他不受限制的访问任务，”研究人员补充说。

如果服务器暴露在网上，攻击者可以使用用户名和密码访问建筑物的 ID 卡管理系统并引入恶意卡或完全禁用访问控制功能。

搜索显示只有少数系统连接到互联网，这是对大多数企业楼宇门禁系统安全的保障楼宇能耗管理系统，但是，未连接到互联网的系统仍然可以通过本地网络访问。

其他三个漏洞虽然没有第一个那么严重，但仍然很危险，它们是：

CVE-2019-3907，使用已知的弱加密方法存储用户凭据和其他敏感信息。

CVE-2019-3908，公司备份存储在受密码保护的 ZIP 文件中。

CVE-2019-3909，该公司的服务安装了默认的数据库用户名和密码，用户必须直接将密码发送给供应商才能更改此密码，攻击者可以使用这些已知凭据访问数据库的敏感内容。

该公司表示，这些漏洞影响运行固件版本 3.1.190 的系统，可能还有其他系统。由于供应商公司没有与企业研究团队或 US-CERT 团队合作，因此尚不清楚报告的问题是否已被修补。

根据该公司的网站，该公司在全球拥有数以万计的客户，包括政府机构、财富 500 强公司、K-12 学校、大学、医疗中心等。

研究人员建议该公司审查他们的系统是否在线公开，以及系统管理员如何访问后端。“为了降低攻击风险，用户应该对他们的网络进行分段，以确保这样的系统尽可能地与内部和外部威胁隔离开来，”该公司建议道。