知风Zhifeng.io安全研究团队
编号:C-02
一、指纹门禁考勤系统介绍
指纹门禁考勤设备是一种具备远程控制的物联网设备,设备本身集成人员进出管理、考勤统计、门禁门磁控制等多种功能于一身;指纹门禁考勤设备本身可通过配套的相关软件进行人员管理、考勤管理等。指纹门禁考勤系统的组成基于软硬件功能组合形成,系统既能完成人员签到,保证内部人员的进出自由;也能通过控制门磁门禁杜绝外来人员随意进出。
现在对于很多公司已经使用了钉钉等新型的办公软件,可直接通过相关软件对人员考勤等进行管理,相对比传统的考勤机更加的灵活方便。但是依然有很多企业使用较为传统与可靠的考勤打卡机控制考勤和门禁。设备本身需要通过人脸、指纹等生物识别技术进行签到与出入控制。
二、门禁考勤设备分析
常见的指纹门禁考勤设备一般是由:外壳、主板、电源、指纹仪、显示器、按键板、电源线组成。设备对于考勤记录主要通过U盘、网络等方式进行传输,同时支持通过以太网远程控制。在这基础上为了方便进行考勤的异地管理,很多企业会将设备桥接到外网或将设备无意识的暴露在外网。
对于门禁考勤设备一直都是处于被安全研究忽视的内容方向,近年来鲜有相关的安全研究报告出现,大部分安全研究人员关注的技术点大多在于:替换相关设备的声音、远程打卡等方向。下面我们针对于相关设备做了较为详细的分析。
考虑到相关设备厂家和型号众多,本分析报告选取了国内销售、OEM、ODM应用较为广泛和主流的:中控智慧(中控科技)ZKeco/ZKSoftware指纹门禁考勤打卡设备作为分析对象。根据相关设备和已公开的研究报告,整理了其设备类型下全球的相关风险态势: 根据对ZKeco/ZKSoftware设备的开放端口分析,相关设备开放端口如下:
端口 | 服务 |
TCP/23 | Telnet |
TCP/80 | WEB |
TCP/4370 UDP/4370 | 中控智慧私有协议通讯端口 |
UDP/65535 | 中控智慧私有协议用于局域网广播 |
设备具体存在的安全风险如下:
私有协议未授权访问
私有协议未授权攻击一直都是针对IoT和ICS类设备较为通用的攻击方法之一。相关的管理软件或通信协议SDK可直接连接任何未作安全配置的未授权设备,实现对设备远程的管理控制,当然ZKeco/ZKSoftware的相关系列设备也不例外,具体可实现的部分未授权访问功能如下:
远程签到
对于设备远程签到也是最为简单的,对设备本身进行打卡、修改打卡信息等;或者通过创建管理员或用户导致企业内存考勤打卡设设备的异常。
远程开门
部分的考勤设备带有门禁管理,但是在相关软件的管理中可以直接对设备进行远程开门/关门的操作。
获取人员与指纹信息
对于指纹中最为主要的就是设备中存储的指纹信息,一个设备中可能存在大量的人员与指纹信息,通过远程获取可以直接进行获取设备中人员的指纹信息。
上述存在的风险隐患主要可通过SDK直接对设备直接实现增删改查、重启设备等操作。
Telnet弱口令
另外部分型号的设备root存在硬编码口令(root/solokey),并且已经在互联网中广泛传播,攻击者可能通过root权限对设备参数、关键数据信息进行修改;甚至可能编译特种木马透过设备跳板进入企业内网,并利用设备内存储的用户名、密码等信息进行更广的横向渗透测试。
如下是在互联网中广泛传播的具体部分型号的常见弱口令情况如下:
root:colorkey
root:solokey
root:swsbzkgn
admin:admin
888:manage
manage:888
manage:888
asp:test
888:asp
WEB服务安全风险
ZKeco/ZKSoftware相关的考勤设备中部分型号同时集成了WEB功能,其主要风险隐患集中在弱口令(administrator:123456)、SOAP API未授权访问、任意文件注入等。
部分型号即使在修改了Web登录密码的的情况下,也可通过直接访问http://IP/csl/start,绕过进入WEB管理页面,并获得和管理员相同的特权。
同时在进行相关设置中在选择备份功能时,可以选择备份系统数据或用户数据;系统进行下载配置文件时文件中包含options.cfg内部含有设备本身的配置信息;另外还可以通过修改备份文件中的passwd文件达到覆盖服务器用户管理文件等。
三、安全风险分析
根据知风Zhifeng.io的核查数据显示,全球共接入了74551个中控智慧(中控科技)ZKeco/ZKSoftware指纹门禁考勤设备。其中排名前三的国家为:越南、中国、墨西哥,分别占总数的13.72%、9.84%、8.49%。
国内分布情况如下:
四、解决方案与对应策略
根据知风安全分析团队研究发现,当前互联网侧指纹门禁考勤类设备暴露的风险,主要来自于设备提供的通用服务和私有通信管理协议两方面:一是由于默认配置不当和逻辑设计错误可能导致的安全风险,二是由于私有通信管理协议存在未授权访问的安全风险。
我们推荐指纹门禁考勤类设备生产、开发厂商在通信协议方面可进行优化,例如使用特定可变换的Key值、多重校验等方式来提高协议安全性;对相关服务端口服务进行优化裁剪,为用户提供固件升级等功能。
另外我们推荐企业以如下策略来应对此类设备可能给企业网络安全带来的次生风险:
身份认证
对设备本身开放的Telnet、Web服务等服务进行安全配置,避免使用默认口令或弱口令。
访问限制
尽量避免将其设备直接连接互联网,如确需将设备接入互联网可使用防火墙或VPN,尽量避免私有协议业务端口直接开放在互联网,应尽量避免私有协议端口被非信任的互联网IP访问
五、如何确认我当前周边是否存在此类网络安全风险的指纹门禁考勤设备?
您可以使用移动设备浏览器登录Zhifeng.io,或直接使用移动设备浏览器打开:https://zhifeng.io/mobile/online,查看您周边是否存在各类指纹门禁考勤设备与其他IoT设备。
六、参考链接
https://zhidao.baidu.com/question/1237123667155896779.html
https://www.zkteco.com/cn/download_catgory.html
https://blog.infobytesec.com/2014/07/perverting-embedded-devices-zksoftware_2920.html