Vulnerabilidades

Por defecto, la contraseña para la interfaz web del Access Manager, está establecida como 'admin'. En la versión probada, el cambio de la contraseña no era obligatorio.

Las unidades de registro dormakaba 9002 (Unidades de teclado PIN) tienen un encabezado UART expuesto en la parte trasera. El teclado PIN está enviando cada pulsación de botón a la interfaz UART. Un atacante puede usar la interfaz para exfiltrar PINs. Dado que los dispositivos están explícitamente construidos como Plug-and-Play para ser fácilmente reemplazados, un atacante puede fácilmente retirar el dispositivo, instalar un implante de hardware que se conecta al UART y exfiltrar los datos expuestos a través de UART a otro sistema (p. ej., vía WiFi).

La contraseña predeterminada para el modo de usuario administrador extendido en la aplicación U9ExosAdmin.exe ('Administración Kaba 9300') está codificada de forma rígida en múltiples ubicaciones, así como documentada en la documentación de usuario almacenada localmente.

La aplicación exos 9300 puede utilizarse para configurar Access Managers (p. ej. 92xx, 9230 y 9290). La configuración se realiza en una interfaz gráfica de usuario en el servidor dormakaba exos. Tan pronto como se hace clic en el botón de guardar en exos 9300, toda la configuración se envía al Access Manager seleccionado a través de SOAP. La solicitud SOAP se envía sin autenticación o autorización previa alguna por defecto. Aunque la autenticación y la autorización pueden configurarse utilizando IPsec para dispositivos 92xx-K5 y mTLS para dispositivos 92xx-K7, no está habilitado por defecto y, por lo tanto, debe activarse con pasos adicionales.<br /> <br /> Este valor predeterminado inseguro permite a un atacante con acceso a nivel de red controlar completamente todo el entorno. Un atacante, por ejemplo, puede realizar fácilmente las siguientes tareas sin autenticación previa:<br /> - Reconfigurar Access Managers (p. ej., eliminar requisitos de sistemas de alarma)<br /> - Reconfigurar libremente las entradas y salidas<br /> - Abrir todas las puertas conectadas permanentemente<br /> - Abrir todas las puertas por un intervalo de tiempo definido<br /> - Cambiar la contraseña de administrador<br /> - y muchos más<br /> <br /> El acceso a nivel de red puede obtenerse debido a una segmentación de red insuficiente, así como a la falta de firewalls de LAN. Se ha identificado que los dispositivos con una configuración insegura están directamente expuestos a internet.

El Administrador de Acceso ofrece una funcionalidad de rastreo para depurar errores y problemas con el dispositivo. La funcionalidad de rastreo está implementada como un socket TCP simple. Una herramienta llamada TraceClient.exe, proporcionada por dormakaba a través de la interfaz web del Administrador de Acceso, se utiliza para conectarse al socket y recibir información de depuración. Los datos se transmiten permanentemente en el socket TCP. Se puede acceder al socket sin ninguna autenticación ni cifrado.<br /> <br /> Los datos transmitidos se basan en el nivel de verbosidad configurado. El nivel de verbosidad se puede configurar utilizando el endpoint HTTP(S) con la contraseña de la interfaz de servicio o con el identificador predecible del dispositivo a través de la interfaz SOAP.<br /> <br /> Los datos transmitidos contienen datos sensibles como el ID de la Tarjeta, así como todas las pulsaciones de botones en las unidades de Registro. Esto permite a un atacante con acceso a nivel de red recuperar todos los PINs introducidos en una unidad de registro.

El Gestor de Acceso está utilizando el servidor web de código abierto CompactWebServer escrito en C#. Este servidor web está afectado por una vulnerabilidad de salto de ruta, que permite a un atacante acceder directamente a archivos mediante simples solicitudes GET sin autenticación previa. Por lo tanto, es posible recuperar todos los archivos almacenados en el sistema de archivos, incluyendo la base de datos SQLite Database.sq3, que contiene información de credenciales y los códigos PIN correspondientes. Además, al intentar acceder a ciertos archivos, el servidor web falla y se vuelve inalcanzable durante aproximadamente 60 segundos. Esto puede ser explotado para enviar continuamente la solicitud y causar denegación de servicio.

La interfaz web ofrece una funcionalidad para exportar la base de datos SQLite interna. Después de ejecutar la exportación de la base de datos, se inicia una descarga automática y el dispositivo se reinicia. Después de reiniciar, la base de datos exportada se elimina y ya no se puede acceder a ella. Sin embargo, se observó que a veces el dispositivo no se reinicia y por lo tanto la base de datos exportada no se elimina, o el dispositivo se reinicia y la exportación no se elimina por razones desconocidas. La ruta donde se encuentra la exportación de la base de datos puede ser accedida sin autenticación previa. Esto lleva al hecho de que un atacante podría ser capaz de obtener acceso a la base de datos exportada sin autenticación previa. La base de datos incluye datos sensibles como contraseñas, PINs de tarjeta, claves de sitio Mifare cifradas y mucho más.

En lugar de los tokens de sesión o cookies típicos, se verifica por solicitud si la dirección IP de origen ha iniciado sesión con éxito alguna vez. Tan pronto como una solicitud de autenticación de una determinada IP de origen es exitosa, la dirección IP se trata como autenticada. No se almacena ninguna otra información de sesión. Por lo tanto, es posible suplantar la dirección IP de un usuario que ha iniciado sesión para obtener acceso a la interfaz web del Administrador de Acceso.

El servidor web del Administrador de Acceso ofrece una funcionalidad para descargar una copia de seguridad de la base de datos local almacenada en el dispositivo. Esta base de datos contiene toda la configuración. Esto incluye claves MIFARE cifradas, datos de tarjetas, PINs de usuario y mucho más. Los PINs incluso se almacenan sin cifrar. Combinado con el hecho de que un atacante puede obtener acceso fácilmente a la funcionalidad de copia de seguridad al abusar del problema de gestión de sesión (CVE-2025-59101), o al explotar la contraseña predeterminada débil (CVE-2025-59108), o simplemente al establecer una nueva contraseña sin autenticación previa a través de la API SOAP (CVE-2025-59097), es fácilmente posible acceder a los datos sensibles en el dispositivo.

Vulnerabilidad en el Servicio de autenticación de Altitude y el Servidor de comunicación de Altitude v8.5.3290.0 de Altitude, donde la manipulación del encabezado Host en las solicitudes HTTP permite la redirección a una URL arbitraria o la modificación de la URL base para engañar a la víctima para que envíe credenciales de inicio de sesión a un sitio web malicioso. Este comportamiento puede utilizarse para redirigir clientes a puntos finales controlados por el atacante.

En el servidor exos 9300, una API SOAP es accesible en el puerto 8002. Esta API no requiere ninguna autenticación antes de enviar solicitudes. Por lo tanto, el acceso a la red al servidor exos permite, por ejemplo, la creación de eventos de registro de acceso arbitrarios, así como la consulta de los PIN 2FA asociados con las tarjetas con chip registradas.

Múltiples credenciales codificadas han sido identificadas, a las que se les permite iniciar sesión en el servidor de puntos de datos exos 9300 que se ejecuta en el puerto 1004 y 1005. Este servidor se utiliza para retransmitir información de estado desde y hacia los Gestores de Acceso. Esta información, entre otras cosas, se utiliza para visualizar gráficamente puertas abiertas y alertas. Sin embargo, controlar los Gestores de Acceso a través de esta interfaz también es posible.<br /> <br /> Para enviar y recibir información de estado, la autenticación es necesaria. La aplicación Kaba exos 9300 contiene credenciales codificadas para cuatro usuarios diferentes, a los que se les permite iniciar sesión en el servidor de puntos de datos y recibir, así como enviar, información, incluyendo comandos para abrir puertas arbitrarias.