Истражување: .мк сајбер инфраструктура – Soyal Biometric Access Control System

Следниов текст е дел од истражувањето на тема: .мк сајбер простор и инфраструктура – Отстранување на национална сајбер закана, реализирано од страна на Ѓоко Крстиќ од лабораторијата за истражување на ИКТ безбедност ZeroScience Lab.


Вовед (TL;DR)

Додека работев на еден безбедносен тест, дознав дека откриените мрежни уреди се користат и во македонскиот сајбер простор. Со ова истражување би сакал малку и да ја подигнам свеста за безбедност на информации во нашата држава, како на корисниците така и на снабдувачите на мрежни уреди, софтвер и интернет пристап и на самиот MKD-CIRT тим.

Во првиот случај се работи за производот SOYAL Access Control System со потекло од Тајван и открив дека 62 IP адреси од Македонија го користат горенаведениот систем за контрола на пристап (влез) кој се користи во владиниот, приватниот и индустрискиот сектор. Секој можеше да пристапи до системот и да отклучува и заклучува врати во некои објекти, и можност за преземање и промена на главниот “клуч” (Master Code). Открив различен опсег на IP адреси од неколку македонски телекомуникациски оператори.

Во продолжение следува детален опис за ранливостите пронајдени во SOYAL Access Control System и интеракцијата со надлежните лица на територија на Македонија.

Тајмлајн Soyal Biometric Access Control System (Incident ID: 978/GLOBALSEC)

Главниот овластен увозник и дистрибутер за Сојал производите во Македонија, Косово и Албанија е Глобал Секјурити. Исто така, референтни листи можат да откријат каде потенцијално е присутен контролерот за влез, пр: Реф. листа. Првин се обидов да контактирам директно со производителот на системот – Soyal.com. Тие не одговорија, па ги контактирав MKD-CIRT.

Следува тајмлајн (e-mail комуникација):

  • 25 јан 2021: Пронајдена ранливост/0day, изложеност на Интернет (закана).
  • 27 јан 2021: Контакт со MKD-CIRT и барање на PGP клуч: https://mkd-cirt.mk/prijava-na-incident/obrazec-za-prijava-na-incident/
  • 27 јан 2021: MKD-CIRT го доставува клучот. Испраќам енкриптирани податоци/информации за инцидентот.
  • 03 фев 2021: Обид за контакт со производителот soyal.com.
  • 08 фев 2021: После 12 дена MKD-CIRT бара повеќе информации: датум и време на детектирана ранливост, јавни IP адреси од/на кои е детектирана ранливоста и краток опис на штетната активност. Препорачуваат да ги контактирам засегнатите компании/сопственици на откриениот IP опсег (А1, МК Телеком, Кабелнет, Тутунски Комбинат, Телекабел).
  • 08 фев 2021: Испраќам детални информации за ранливоста, ранливи верзии и краток опис до MKD-CIRT. Не можам да стапам во контакт со интернет провајдерите.
  • 09 фев 2021: Global Security ми пишува имејл. Го добиле мојот имејл што го пратив до soyal.com. Се обиделе веднаш да ме контактираат по телефон но неуспешно (во тој момент не бев достапен 😊). Прашуваат за каков проблем се работи.
  • 09 фев 2021: Го известувам MKD-CIRT дека ќе продолжам да соработувам со Global Security.
  • 09 фев 2021: Комуникација воспоставена. Го опишувам пронајдениот инцидент и изложените уреди, ја испраќам листата на изложените IP адреси. Предложив надоградба на firmware-от, затворање на WAN портите (нема потреба од таквите контролери да бидат на Интернет) и менување на зададени лозинки.
  • 11 фев 2021: Global Security одговара со направен план за решавање за инцидентот. Ќе ги известат сите компании кои имаат инсталирано Soyal уреди од страна на Global Security за неопходно менување на корисничко име и лозинка, контакт со дилери и истото да го направат со нивните клиенти, на сајтот ќе објават известување, ќе разговараат со soyal.com и ќе бараат соодветен и ажуриран firmware. Во секој нов Soyal уред да се појавува предупредување до корисникот да ја промени дифолтната лозинката.
  • 12 фев 2021: Пријавувам новооткриени ранливости во серверскиот и клиентскиот софтвер на Soyal за Windows оперативен систем.
  • 12 фев 2021: Global Security ќе ги извести soyal.com и ќе бидеме во контакт.
  • 12 фев 2021: Го известувам MKD-CIRT за планот на Global Security.
  • 04 мар 2021: Ги прашувам Global Security за апдејт. Веднаш одговараат, ќе приложат повеќе информации во почетокот на неделата.
  • 14 апр 2021: Нема одговор од Global Security.

Ми се допаѓа изјавата “Глобал Секјурити стои позади секоја направена инсталација…”. Реагираа брзо и ефикасно, почнаа да ги известуваат нивните клиенти во истиот ден по пат на имејл известување и телефонско јавување и објавија предупредување на нивните веб страници: www.globalsecurity.mk и www.soyal.com.mk.

A picture containing text, screenshot

Description automatically generated
Graphical user interface, website

Description automatically generated
Prs Scr од известувањето на GlobalSecurity.mk
Graphical user interface

Description automatically generated
Prs Scr од известувањето на Soyal.mk

Soyal системот за електронска контрола на пристап има за цел да го заштити просторот од влез на неовластени лица.

Повеќе за производителот: SOYAL (Maoxu Information) – https://www.soyal.com.tw

Ранливости/предупредувања

  • SOYAL Biometric Access Control System 5.0 Master Code Disclosure
  • SOYAL Biometric Access Control System 5.0 Weak Default Credentials
  • SOYAL Biometric Access Control System 5.0 CSRF Change Admin Password
  • SOYAL Biometric Access Control System 4.0 Unauthenticated POST Access (CVE-2019-6451)
  • SOYAL 701Server 9.0.1 Insecure Permissions
  • SOYAL 701Client 9.0.1 Insecure Permissions

Soyal анализа (Vulnerability research and threat analysis)

Штом може да се дознае точната локација на IP адреса од мапата преку Shodan, напаѓачот далечински може да го преземе главниот клуч и лозинката за алармот и потоа физички да ги отклучува вратите на таа локација со притискање на *лозинка# (влегување во programming mode) и секако, да го исклучи алармот. Можност за контрола на лифт е исто така валидно сценарио. Упатство

Софтверот е ранлив на CSRF (Cross-Site Request Forgery) напад што може да дојде до скриени побарувања од страна на логираниот администратор доколку тој/таа кликнува на некој линк. Пример, овој код ќе фалсификува HTTP побарување до userset.cgi или LoginUser.cgi страниците и може да ја промени лозинката на администраторот:

Или:

Дел од упатството што покажува зададено корисничко име и лозинка: 

Graphical user interface, text, application

Description automatically generated

Кај изложените уреди, лозинката не беше сменета и напаѓачот можеше да навлезе во веб панелот со користење на корисничко име: admin, без лозинка. Од тука лозинката на главниот клуч и лозинката за алармот се претставени во некриптирана форма (plain-text, clear-text) а напаѓачот има можност да манипулира со вратите и лифтовите како и со креирање на нови картички и PIN кодови за влез. Самото HTTP побарување со користење на слабите лозинки ви ги доставува “клучевите” односно лозинките за администрација на уредот:

Со помош на 701Client софтверот, исто така може и да се додаваат картички и да се овозможи пристап.

A picture containing table

Description automatically generated
701Client софтвер

Ранливоста што овозможува неавтентициран пристап и произволно отворање врати всушност е откриена во 2019 година од страна на Националниот центар за сајбер безбедносна технологија – Тајван: https://www.nccst.nat.gov.tw

Деталната анализа за ранливоста CVE-2019-6451 можете да ја најдете тука: https://github.com/cvereveal/CVEs/tree/master/CVE-2019-6451

Soyal дури објавува одговор за инцидентот со објавување на нов закрпен firmware: https://www.soyal.com/exhibition/cve-2019-6451/.

Останатите ранливости не се толку критични но сепак би требало да се закрпат. Се работи за слаби пермисии (Insecure permissions) на бинарните податоци McuServer.exe и client.exe. Ранливоста постои бидејќи самите податоци ја содржат групата “Everyone” и “Authenticated Users” со “Full (F)” пермисии. Локален и автентициран корисник-напаѓач може да изврши ескалирање на привилегии со менување на бинарниот податок со малициозен податок.

Вака изгледа еден обид за отворање на врати:

Graphical user interface

Description automatically generated

За да ставите лозинка на корисникот admin, преку вашиот веб прелистувач навигирајте до User Add / Change (http://IP/UserParam.htm) опцијата:

A picture containing timeline

Description automatically generated

Исто така, внимавајте на вакви информации:

Graphical user interface, text

Description automatically generated

Ранливи верзии:

SOYAL Serial Device Server – 4.03A, 3.07n и 4.01n
Тестирано на: SOYAL Technology WebServer 2.0

Тестирани модели и верзии на firmware:

  • AR-727 i/CM- F/W: 5.0
  • AR837E/EF  – F/W: 4.3
  • AR725Ev2 – F/W: 4.3 191231
  • AR331/725E – F/W: 4.2
  • AR837E/EF – F/W: 4.1
  • AR-727CM /i- F/W: 4.09
  • AR-727CM /i- F/W: 4.06
  • AR-837E – F/W: 3.03

Soyal 701Server, тестирана верзија: 9.0.1 190322 и 8.0.6 181227
Soyal 701Client, тестирана верзија: 9.0.1 190410 и 9.0.1 190115

Тестирано на: Microsoft Windows 10 Enterprise

Предупредувања и идентификации:


Линк до истражувањето

Линк до втор дел:
Истражување: .мк сајбер простор инфраструктура – JT3500V 4G LTE WiFi & VoIP CPE

2 коментари на “Истражување: .мк сајбер инфраструктура – Soyal Biometric Access Control System

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии