Хакер #305. Многошаговые SQL-инъекции
Исследователи обнаружили уязвимости, которые затрагивают 3 млн электронных RFID-замков Saflok, установленных в 13 000 отелей и домов в 131 стране мира. Баги позволяют легко отпереть любую дверь, подделав пару ключ-карт.
Серия уязвимостей получила название Unsaflok и была обнаружена исследователями Леннертом Воутерсом (Lennert Wouters), Яном Кэрроллом (Ian Carroll), rqu, BusesCanFly, Сэмом Карри (Sam Curry), shell и Уиллом Каруаной (Will Caruana) еще в сентябре 2022 года.
Тогда исследователи были приглашены на закрытое хакерское мероприятие в Лас-Вегасе, где соревновались с другими командами в поиске уязвимостей в гостиничном номере и всех устройствах, находящихся в нем. Специалисты сосредоточили усилия на поиске уязвимостей в электронных замках Saflok и обнаружили недостатки в системе безопасности, позволяющие открыть любую дверь.
Еще в ноябре 2022 года эксперты сообщили о своих выводах производителю замков, компании Dormakaba, и поставщик разработал меры по снижению рисков и уведомил отели об угрозе, не предавая проблему огласке. Однако исследователи отмечают, что обнаруженные уязвимости существует уже более 36 лет, поэтому, несмотря на отсутствие подтвержденных случаев их эксплуатации, такая вероятность велика.
Теперь специалисты публично раскрыли информацию о проблемах Unsaflok, предупредив, что те затрагивают почти 3 млн дверей по всему миру, использующих системы Saflok. Unsaflok представляет опасность для ряда моделей Saflok, включая Saflok MT, серию Quantum, серию RT, серию Saffire и серию Confidant, управляемых программным обеспечением System 6000 или Ambiance.
Unsaflok представляет собой цепочку уязвимостей, которые позволяют злоумышленнику отпереть любую дверь с помощью пары фальшивых ключ-карт. Для атаки злоумышленнику достаточно считать всего одну ключ-карту (это может быть старая карта или ключ-карта от его собственного номера).
В своих тестах исследователи отреверсили ПО Dormakaba, которое обычно используется на стойках регистрации, а также устройство для программирования замков. В итоге им удалось подделать рабочий мастер-ключ, который может открыть любой номер в отеле. Также, чтобы клонировать карты, пришлось взломать функцию формирования ключей (key derivation function), используемую Dormakaba.
Отмечается, что поддельные ключ-карты можно изготовить с помощью карты MIFARE Classic и любого доступного в продаже инструмента, способного записывать данные на карты, включая Poxmark3, Flipper Zero и смартфоны на Android с поддержкой NFC. То есть необходимое для атаки оборудование будет стоить всего несколько сотен долларов США.
В итоге, при эксплуатации уязвимостей, первая карта перезаписывает данные замка, а вторая открывает его, как показано на видео ниже.
Пока исследователи не предоставили никаких дополнительных технических подробностей об Unsaflok, чтобы у компаний было время обновить свои системы. Дело в том, что Dormakaba начала замену и модернизацию уязвимых замков еще в ноябре 2023 года, но также требуется перевыпуск всех карт и обновление кодирующих устройств. В итоге, по состоянию на март 2024 года более 64% замков еще уязвимы. Исследователи пообещали поделиться всеми деталями о проблемах Unsaflok в будущем.
«Пока мы раскрываем ограниченную информацию об уязвимости, чтобы персонал и гости отелей знали о потенциальной угрозе безопасности. Для обновления большинства отелей потребуется длительное время», — говорят эксперты.
Гости отелей могут определить, уязвимы ли замки их номеров, используя приложение NFC Taginfo (Android, iOS), чтобы проверить тип своей ключ-карты с телефона. На вероятную уязвимость указывает использование карт MIFARE Classic.
Уже после выхода публикации исследователей компания Dormakaba сообщила об уязвимости в системе безопасности, связанной как с алгоритмом формирования ключей, используемым для генерации ключей MIFARE Classic, так и с алгоритмом вторичного шифрования, используемым для защиты данных карт, лежащих в основе. Сообщается, что уязвимость затрагивает системы Saflok (System 6000 Ambiance и Community).
«Как только нам стало известно об уязвимости от группы внешних ИБ-исследователей, мы начали всестороннее расследование, определили приоритеты разработки и развертывания решений по устранению уязвимости, а также провели систематическую работу по информированию клиентов. На сегодняшний день нам не известно ни об одном случае эксплуатации этой проблемы», — заявили в компании.