Lücken in Zugangskontrollsystemen: Türschlösser zahlreicher Unternehmen gefährdet
Sicherheitsforscher von SEC Consult haben über 20 Sicherheitslücken in physischen Zugangskontrollsystemen des Schweizer Herstellers Dormakaba aufgedeckt. Wie die Forscher in einem ausführlichen Bericht(öffnet im neuen Fenster) schildern, waren Angreifer damit potenziell in der Lage, bei Kunden des Herstellers unzählige Türen unrechtmäßig zu öffnen. Dormakaba hat die Lücken mittlerweile gepatcht – auch wenn das recht lange gedauert hat.
Gegenstand der Untersuchungen von SEC Consult waren den Angaben zufolge Zutrittskontrollen auf Basis des Systems Kaba Exos 9300(öffnet im neuen Fenster) . Diese sollen bei zahlreichen großen Unternehmen in Europa im Einsatz sein – unter anderem in der Industrie, Logistik, bei Energieversorgern sowie an Flughäfen.
Mit dem System werden oftmals öffentliche von gesperrten Bereichen getrennt. Der Zutritt zum jeweiligen gesicherten Bereich erfolgt beispielsweise mit RFID-Schlüsselkarten , per PIN-Eingabe oder über das Einscannen von Fingerabdrücken. Wer welche Türen passieren darf, wird zentral über ein Zutrittsmanagementsystem gesteuert.
Eine Demo mit Post-Requests
Die Sicherheitsforscher entdeckten jedoch nach eigenen Angaben zahlreiche teils kritische Schwachstellen, mit denen sich beliebige mit Kaba Exos 9300 gesicherte unbefugt Türen öffnen ließen. Darüber soll es auch möglich gewesen sein, mit dem System verbundene Controller und Peripheriegeräte ohne vorherige Authentifizierung umzukonfigurieren.
In einem kurzen Videoclip auf Youtube(öffnet im neuen Fenster) zeigen die Forscher beispielhaft, wie sie eine Zugangskontrolle mit PIN-Eingabe mit vier aufeinanderfolgenden Post-Requests überwinden. Wer sich für weitere technische Details zu den über 20 aufgedeckten Sicherheitslücken interessiert, findet diese im Bericht von SEC Consult(öffnet im neuen Fenster) .
Fast zwei Jahre an Patches gearbeitet
Die Forscher loben Dormakaba für einen vorbildlichen Umgang mit den gemeldeten Lücken. Der Hersteller erarbeitete in Kooperation mit den Forschern Patches und veröffentlichte(öffnet im neuen Fenster) diese zusammen mit Handlungsempfehlungen für seine Kunden. Doch schnell ging das nicht: SEC Consult hatte die Lücken nach eigenen Angaben(öffnet im neuen Fenster) schon im Frühjahr 2024 entdeckt und an den Hersteller gemeldet. Der gesamte Offenlegungsprozess dauerte also fast zwei Jahre.
Dem Nachrichtenportal Securityweek(öffnet im neuen Fenster) erklärte Dormakaba, potenziell seien "einige Tausend Kunden" betroffen, teilweise auch solche mit "hohen Sicherheitsanforderungen" . Für einen erfolgreichen Angriff sei jedoch zuvor ein Zugriff auf die geschützte Netzwerkinfrastruktur des jeweiligen Kunden erforderlich.
SEC Consult fand allerdings auch einige betroffene Systeme, die direkt über das Internet erreichbar waren – unter anderem aus Spanien, den Niederlanden und der Schweiz. Die Forscher konnten darüber wohl teilweise direkt Türen ansteuern und sprechen daher in ihrem Bericht von einem "Worst-Case-Szenario" . Fälle einer böswilligen Ausnutzung der Lücken sind aber laut Dormakaba bisher nicht bekannt.