荷蘭IT安全咨詢公司Modat發(fā)現(xiàn)，全球范圍內(nèi)部署的約49,000個(gè)訪問管理系統(tǒng)（AMS）存在嚴(yán)重的安全漏洞。這些系統(tǒng)本應(yīng)通過密碼、生物識(shí)別和多因素認(rèn)證等身份驗(yàn)證方法控制建筑物訪問，然而卻因關(guān)鍵配置錯(cuò)誤導(dǎo)致敏感數(shù)據(jù)暴露，使設(shè)施面臨未經(jīng)授權(quán)進(jìn)入的風(fēng)險(xiǎn)。

此次發(fā)現(xiàn)暴露了一個(gè)跨越多個(gè)領(lǐng)域的重大全球性安全威脅，涉及醫(yī)療、教育、制造、建筑、石油行業(yè)和政府機(jī)構(gòu)等。

漏洞帶來雙重威脅

訪問管理系統(tǒng)通過多種方法驗(yàn)證用戶身份，并根據(jù)預(yù)定策略授權(quán)訪問權(quán)限。當(dāng)這些系統(tǒng)配置不當(dāng)時(shí)，會(huì)帶來雙重威脅：一是未經(jīng)授權(quán)的物理訪問建筑物，二是未經(jīng)授權(quán)的數(shù)字訪問存儲(chǔ)在系統(tǒng)中的敏感信息。

Heise Online的研究人員發(fā)現(xiàn)了大量案例，其中員工照片、全名、身份證號(hào)碼、訪問卡詳細(xì)信息、生物識(shí)別數(shù)據(jù)、車輛牌照、工作安排甚至設(shè)施訪問憑證等數(shù)據(jù)完全未受保護(hù)，潛在攻擊者可以輕易獲取。暴露的生物識(shí)別數(shù)據(jù)尤其令人擔(dān)憂，因?yàn)榕c密碼不同，這些信息一旦泄露便無法更改。

漏洞利用與地理分布

安全專家強(qiáng)調(diào)，此類暴露的數(shù)據(jù)為各種網(wǎng)絡(luò)威脅提供了廣泛的攻擊面，包括釣魚攻擊、身份盜竊、社會(huì)工程攻擊以及專門設(shè)計(jì)的欺詐計(jì)劃，旨在從組織和個(gè)人中竊取更多敏感信息。

漏洞系統(tǒng)的地理分布顯示出令人擔(dān)憂的模式，其中歐洲、美國、中東和北非的漏洞系統(tǒng)最為集中。研究發(fā)現(xiàn)，意大利是受影響最嚴(yán)重的國家，擁有16,678個(gè)漏洞系統(tǒng)，其次是墨西哥（5,940個(gè)）和越南（5,035個(gè)）。印度排名第十，約有1,070個(gè)受影響的系統(tǒng)。值得注意的是，德國并未進(jìn)入受影響最嚴(yán)重國家的前十名。

漏洞分析與修復(fù)建議

受影響系統(tǒng)中的身份驗(yàn)證協(xié)議揭示了導(dǎo)致可利用安全漏洞的一致錯(cuò)誤配置模式。在典型的安全實(shí)施中，訪問管理系統(tǒng)應(yīng)使用類似于以下配置代碼：access_protocol.biometric_data.storage = "encrypted"; remote_access.public_endpoints = FALSE; authentication.credential_exposure = "restricted";

然而，調(diào)查人員發(fā)現(xiàn)數(shù)以千計(jì)的系統(tǒng)采用了默認(rèn)或不正確的設(shè)置，導(dǎo)致API端點(diǎn)和憑證數(shù)據(jù)庫暴露在未經(jīng)授權(quán)的查詢中。對(duì)這些漏洞系統(tǒng)的連接請(qǐng)求通常會(huì)以未加密的格式返回敏感數(shù)據(jù)，而無需進(jìn)行適當(dāng)?shù)纳矸蒡?yàn)證挑戰(zhàn)，這為即使是技術(shù)不高的攻擊者提供了簡單的利用途徑。

修改幾個(gè)配置參數(shù)即可修復(fù)許多這些漏洞，但系統(tǒng)管理員對(duì)安全最佳實(shí)踐的普遍誤解導(dǎo)致了這一全球性安全漏洞。