據外媒報導，被公立院校、政府、以及財富500強企業廣泛使用的PremiSys門禁系統，近日被曝出存在硬編碼後門。其實早在去年年底的時候，Tenable Research的一安全分析師，就已經在一套名為PremiSys IDenticard的訪問控制系統中，發現了一個硬編碼的後門。該軟件用於未員工創建身份識別信息（ID badges）和遠程管理讀卡器，以便對建築內各個部分的訪問權限進行管理。

Tenable Research的James Sebree指出，IDenticard的PremiSys 3.1.190版本，包含了一個允許攻擊者訪問管理功能的後門，讓它能夠在系統中添加、編輯和刪除用戶，分配權限、並控制建築物內的讀卡器。

PremiSys 基於.Net 框架構建，因此Sebree 能夠借助Jetbrain 的“dotPeek”.Net 反編譯器，對該軟件進行逆向工程。

發現漏洞後，Sebree多次通知IDenticard、並試圖取得聯繫，但直到45天過去，該公司還是無動於衷。無奈之下，Sebree選擇向計算機緊急響應小組（CERT）通報此事。

遺憾的是，儘管CERT 嘗試與IDenticard 聯繫，但90 天后，該公司仍未作出回應。事已至此，他們只得公開披露相關漏洞。

鑑於未能訪問系統的物理組件，因此Tenable 只是簡單描述了這款應用程序的服務流程。

PremiSys 中的身份驗證例程，包含一個名叫IgnoreAuthentication（）的函數。只要使用硬編碼憑證，此命令就能夠完全按照它所說的那樣去執行。

由於IDenticard 的軟件被廣泛使用，因此漏洞的波及面相當之廣。

該公司的稱，其為財富500強企業、K-12學校、各大院校、醫療中心、工廠，甚至地級、州級和聯邦政府機構與辦事處所採用。

鑑於這是一個硬編碼的漏洞，因此必須IDenticard 自行修補。然而截止發稿時，該公司仍未就此事作出回應。

[編譯自：TechSpot ]