安全研究人员声称，攻击者可以通过利用最近修补的LenelS2访问控制面板中的漏洞来远程解锁关键基础设施的门。

Trellix Threat Labs的Sam Quinn和Steve Povolny发现了工业控制系统(ICS)技术中的八个安全漏洞，该技术由HID Mercury制造并以LenelS2品牌转售，“使我们能够展示远程解锁和锁定门的能力，颠覆警报，破坏日志和通知系统”，他们在一篇技术文章中说。

美国网络安全和基础设施安全局(CISA)在一份安全公告中表示，成功利用该漏洞可以“监控设备发送和接收的所有通信、修改板载继电器、更改配置文件、设备不稳定和拒绝服务状态”。

然而，Carrier说，Trellix的“评分方法(CVSS)是主观的，并未根据制造商推荐的安装要求捕捉或反映实际操作风险。”

这一发现来自一项渗透测试，其中Quinn和Povolny结合已知和新颖的硬件黑客技术来操纵板载组件并实现对设备Linux 操作系统的root访问。

然后，两人进行了逆向工程和实时调试以发现可远程利用的漏洞，他们将其中两个链接起来利用访问控制板并远程获得根级权限。这使他们能够创建一个可以与合法固件一起运行并解锁任何门并破坏系统监控的程序。

研究人员在下面的视频中捕捉到了这个漏洞：

易受攻击的面板用于政府、医疗保健、交通和教育环境等领域，并且可以与复杂的楼宇自动化部署集成。

这些漏洞包括导致远程代码执行(RCE)的严重未经身份验证的缓冲区溢出，该漏洞的最高严重性得分为CVSS 10.0(CVE-2022-31481)。

第二个最严重的问题，一个导致CVSS为9.6 (CVE-2022-31479)的关键命令注入错误，可以看到未经身份验证的攻击者“使用特制名称更新主机名，允许在核心收集过程中执行shell命令”，CISA解释道。

CVSS 9.1评分是另一个严重的任意文件写入问题(CVE-2022-31483)，这意味着“经过身份验证的攻击者可以操纵文件名以实现在文件系统的任何位置上传所需文件的能力”。

据Trellix称，由于特殊元素的不正确中和，CVSS等级为8.8 (CVE-2022-31486)的高严重性经过身份验证的命令注入是唯一尚未修补的问题。

其他缺陷包括三个高严重性（所有 CVSS 7.5）问题，包括一对拒绝服务(DoS)错误CVE-2022-31480和CVE-2022-31482）和未经身份验证的用户修改问题（CVE-2022-31484），以及未经身份验证的信息欺骗错误评分CVSS 5.3(CVE-2022-31485)。

Carrier表示“对Trellix对这些漏洞的评分提出异议”，并补充说：“为了履行我们对我们销售的所有产品的网络安全的承诺，无论制造商如何，我们主动将所有八个CVE作为CVE计划中的CVE编号机构提交。”

易受攻击的型号包括LNL-X2210、LNL-X2220、LNL-X3300、LNL-X4420、LNL-4420、S2-LP-1501、S2-LP-4502、S2-LP-2500 和 S2-LP-1502。

“HID Global[HID Mercury 的母公司]已经证实，所有使用Mercury板的OEM合作伙伴都容易受到特定硬件控制器平台上的问题的影响，”研究人员警告说。

“这项研究对于与Carrier等公司合作安装物理访问系统的供应商和第三方是可行的。使用HID Global Mercury板的客户应联系其Mercury OEM合作伙伴，以便在恶意威胁参与者武器化之前访问安全补丁。”

拥有LenelS2的Carrier于6月2日发布的安全公告(PDF)提供了有关更新固件的建议，同时通过禁用Web访问来降低风险。

研究人员表示，他们“没想到会在相对较新的技术中发现常见的遗留软件漏洞”，尤其是获准供美国联邦政府使用的技术。“在将任何产品添加到IT或OT环境之前，独立评估任何产品的认证至关重要，”他们建议道。

Carrier还说：“HID Mercury门禁控制面板由第三方供应商HID Mercury设计和制造，并由包括LenelS2在内的许多其他公司以他们自己的品牌和HID Mercury品牌转售。因此，该漏洞与HID Mercury相关，而不是Carrier的LenelS2。

“Trellix发现了四个零日漏洞。今年早些时候，这些被主动传达给LenelS2销售渠道以及临时缓解措施和永久修复计划。其他四个漏洞在Trellix评估之前已被修补和纠正，因此不是零日漏洞。

“目前，LenelS2不知道对这些已识别漏洞的任何利用，也没有收到HID Mercury的任何通知。LenelS2已采取预防措施和纠正措施来通知客户和合作伙伴并与之解决，以减轻这些漏洞。LenelS2还联系了Trellix，他们将通过一些澄清点更新他们的材料。”