Source: sec-consult.com (SEC Consult Vulnerability Lab). Les chercheurs publient une analyse détaillée des systèmes de contrôle d’accès physique dormakaba (exos 9300 et Access Manager 92xx), largement déployés en Europe, révélant plus de 20 vulnérabilités critiques affectant logiciel, firmware et matériel.

• Points saillants: des APIs SOAP non authentifiées (port 8002) sur les contrôleurs permettent d’«ExecutePassagewayCommand» pour relâcher des relais et ouvrir des portes, des comptes hérités hardcodés sur le Datapoint Server (port 1005) permettent l’ouverture via commandes DR, et un service RPC historique «SecLoc Mohito» (port 4000) peut manipuler l’état/commande de portes — le tout sans authentification. Dormakaba a publié des correctifs et un guide de durcissement; mTLS est disponible sur les générations k7 avec remarques de validation de certificats.

• Autres vulnérabilités majeures: une API SOAP sur exos 9300 autorise la falsification du journal d’accès et l’exfiltration des PIN 2FA en clair; génération prédictible du mot de passe SQL «Exos9300Common»; élévation locale de privilèges via «Automatic program starts»; clé XOR statique pour «chiffrer» les PIN; mot de passe par défaut de l’«Extended Admin Mode». Côté Access Manager: traversée de répertoires via CompactWebServer, fuite d’entrées clavier via service de trace (port 4502), export SQLite accessible sans auth, gestion de session par IP vulnérable, secrets en clair (PIN, mots de passe), mots de passe SSH par défaut («eac», «secret») et dépendances de date pour rotation, bootloader non verrouillé (UART/barebox), stockage flash non chiffré, serveur web tournant root, mot de passe statique d’encryptage firmware, et faibles mots de passe UI par défaut.

• Produits/versions affectés: exos 9300 (plusieurs modules <4.4.x pour certaines failles), Access Manager 92xx-k5 (toutes versions pour plusieurs failles) et 92xx-k7 (jusqu’aux branches <BAME 06.00 selon le cas), Registration Unit 90 02 (<SW0039 pour fuite UART). Plusieurs CVE sont attribués, notamment CVE-2025-59090/59091/59092/59097 à 59109, couvrant APIs non authentifiées, comptes hardcodés, path traversal, défauts de session, stockage en clair, SSH par défaut, bootloader, etc.

• Exposition et impact réel: les auteurs constatent des scénarios d’accès réseau via terminaux biométriques/3e partie en zone non sécurisée, latéralisation entre zones (guest → interne) sans segmentation, contrôleurs installés côté non sécurisé, et même des équipements exposés sur Internet (fingerprints: gSOAP/2.7, ports 8002/4000/4502/4505, «KA KA» heartbeat). Conséquences: ouverture de portes, reconfiguration de contrôleurs/périphériques, falsification de logs, récupération de PIN, et prise de contrôle étendue.

• Correctifs et remarques: dormakaba a coopéré étroitement, livré plusieurs patchs et un guide de durcissement; mTLS entre exos et Access Manager est disponible (k7), mais la validation repose sur la signature CA (CN non vérifié), impliquant des risques si un équipement compromis ou une CA générique d’entreprise est utilisée. Cette publication est une recherche technique détaillée visant à documenter les failles, leur impact et les mesures de remédiation fournies par l’éditeur.

IOC/TTPs observés:

  • TTPs: appels SOAP non authentifiés (ICommunicationHub2IdmmService/ExecutePassagewayCommand), relecture de commandes DR via Datapoint Server (port 1005), RPC «SecLoc Mohito» (port 4000), path traversal sur CompactWebServer, lecture base SQLite via /database/Database.sqlite, trace port 4502 divulguant les frappes PIN, défauts de session par IP, comptes/mots de passe par défaut («admin», «eac», «secret»), boot via barebox UART, falsification de logs (SetAccessEvent), récupération des PIN (GetPerson), clé XOR statique et mot de passe firmware statique.
  • Indicateurs/fingerprints réseau: en-tête HTTP gSOAP/2.7; services sur ports 8002 (SOAP), 1005 (Datapoint), 4000 (RPC), 4502/4505 (Trace); heartbeat «KA KA».

🧠 TTPs et IOCs détectés

TTP

appels SOAP non authentifiés (ICommunicationHub2IdmmService/ExecutePassagewayCommand), relecture de commandes DR via Datapoint Server (port 1005), RPC «SecLoc Mohito» (port 4000), path traversal sur CompactWebServer, lecture base SQLite via /database/Database.sqlite, trace port 4502 divulguant les frappes PIN, défauts de session par IP, comptes/mots de passe par défaut («admin», «eac», «secret»), boot via barebox UART, falsification de logs (SetAccessEvent), récupération des PIN (GetPerson), clé XOR statique et mot de passe firmware statique.

IOC

en-tête HTTP gSOAP/2.7; services sur ports 8002 (SOAP), 1005 (Datapoint), 4000 (RPC), 4502/4505 (Trace); heartbeat «KA KA».

🔗 Source originale : https://sec-consult.com/blog/detail/hands-free-lockpicking-critical-vulnerabilities-in-dormakabas-physical-access-control-system/