物理门禁系统是现代企业安全防线的基石，守护着从数据中心、研发实验室到机场管制区等关键区域。然而，当这套系统本身漏洞百出时，坚实的铁门可能在网络攻击面前形同虚设。1月26日，SEC Consult Vulnerability Lab的安全研究员对 Dormakaba旗下广泛应用于欧洲大型企业的exos 9300物理门禁控制系统进行了深度安全评估，结果触目惊心：他们发现了超过20个安全漏洞，攻击者能够借此远程开启任意门禁、窃取所有门禁PIN码、篡改访问日志，甚至完全重配置系统。这项研究揭示了关键基础设施中，物理安全与网络安全交叉地带所隐藏的惊人风险。

偶然获得的研究契机与严峻的测试目标

2017年，SEC Consult为其维也纳新办公室选择了dormakaba exos系统。2023年公司再次搬迁后，原办公室的系统得以闲置，这为研究员提供了一个千载难逢的、完整且真实的企业级门禁系统测试环境。该系统核心包含运行在Windows Server上的exos 9300中央管理软件、部署在门旁的硬件"门禁管理器"（Access Manager），以及集成了RFID读卡器和PIN键盘的"登记单元"（RegistrationUnit）。

面对这套通常因价格昂贵、难以获取而少有安全研究问津的系统，研究团队设定了明确且直接的目标：能否通过发掘其软件、硬件或固件中的漏洞，获得对dormakaba exos 9300系统所控制区域的未授权物理访问？答案是肯定的，并且其容易程度和影响的严重性超出了预期。

漏洞剖析：从"任意开门"到"全面失控"

研究发现，漏洞遍布系统的各个层面，从中心服务器到边缘硬件设备，共同构成了一张危险的攻击网。

1."畅通无阻"的开门指令

最直接的攻击路径围绕几个完全无需认证的关键服务展开，攻击者一旦获得网络访问权限，即可直接发送指令开门。

SOAP API直接操控（CVE-2025-59097）：门禁管理器上端口8002的 SOAP API是核心漏洞。研究员发现，中央管理软件exos 9300正是通过此API向门禁管理器发送"释放门锁"等指令。令人震惊的是，该API没有任何身份验证要求。攻击者只需向门禁管理器的IP地址发送一个格式简单的XML请求，指定目标设备的标识符（该标识符格式固定，易于猜测），即可远程触发门锁开启。此漏洞影响所有型号的K5系列门禁管理器，以及未正确配置双向TLS（mTLS）的K7系列设备。

硬编码"幽灵"账户（CVE-2025-59091）：在exos 9300服务器的多个组件中，研究员发现了五组被称为"LegacySystemUsers"的硬编码凭证。这些账户仍被系统的"数据点服务器"（Datapoint Server，用于可视化门状态）所使用。攻击者可以使用这些已知的账户名和口令，直接登录到数据点服务，然后发送明文指令来远程开门。

被遗忘的古老RPC服务（CVE-2025-59092）：一个名为"SecLoc Mohito"、为早已淘汰的塞班手机提供开门功能的服务，仍在exos 9300服务器的4000端口监听。该RPC服务同样无需认证，攻击者发送特定格式的RPC对象即可操控门状态，乃至直接开门。

2.中央系统的失守：数据泄露与权限提升

exos 9300中央服务器本身的漏洞，使得攻击者能窥探和操纵整个系统的核心数据。

无认证的中央SOAP API（CVE-2025-59090）：exos 9300自身也提供了一个SOAP API（同样在端口8002），用于记录门禁事件。该API无需认证，允许攻击者伪造任意时间的门禁访问日志，完美掩盖非法进入的痕迹。更严重的是，攻击者还能通过此API查询到所有已授权门禁卡的详细信息，包括作为第二因素认证的PIN码明文。

脆弱的数据库口令生成（CVE-2025-59093）：exos 9300 应用连接后端MSSQL数据库的口令，其生成算法是确定性的。口令由主机名、一个可从注册表中读取的值等元素组合后计算MD5哈希生成。一旦攻击者能访问服务器（即使是本地低权限用户），即可轻松计算出数据库口令，从而直接访问并篡改所有核心数据，包括用户、权限和PIN码。

本地特权提升（CVE-2025-59094）：exos 9300 的系统管理模块允许授权用户设置"自动程序启动"任务。研究员发现，执行这些任务的后台服务以 SYSTEM 权限运行。这意味着，一个仅拥有 exos 应用层面权限的攻击者，可以设置一个任务来执行恶意程序，从而在服务器操作系统上获得最高权限。

"加密"的脆弱伪装（CVE-2025-59095）：系统中用于"加密"PIN码等敏感数据的算法，实际上是一个使用静态硬编码密钥（"BauerBaxess"）的简单XOR混淆。该密钥直接来源于公司创始人姓名，毫无安全性可言，可被轻易逆向解密。

3. 边缘设备的全面沦陷

门禁管理器作为直接控制门锁的设备，自身也充满了安全隐患。

敏感信息泄露（CVE-2025-59098）：门禁管理器的4502端口提供调试追踪服务，默认关闭但可通过未认证的SOAP调用开启。一旦开启"详细"模式，该服务会实时广播包括PIN键盘输入的每一位数字在内的敏感调试信息，使攻击者能窃取用户输入的PIN码。

路径穿越窃取数据库（CVE-2025-59099，CVE-2025-59100）：门禁管理器（尤其是旧版K5）使用的是一款古老的、早已停止维护的开源 CompactWebServer。该服务器存在路径穿越漏洞，允许攻击者通过特制的HTTP请求，直接读取设备文件系统上的任意文件，包括存储所有配置和PIN码的SQLite数据库。此外，即使未利用此漏洞，若数据库曾通过Web界面导出，攻击者也可无需认证直接下载该导出文件。

弱口令码与明文存储（CVE-2025-59108，CVE-2025-59102）：大量设备的Web管理界面默认口令为"admin"，且旧型号设备不强制修改。更糟糕的是，在K5设备上，该口令以及所有用户的PIN码，都以明文形式存储在SQLite数据库中。一旦数据库被窃（通过上述路径穿越或导出功能），所有秘密一览无余。

硬件层面的突破（CVE-2025-59104，CVE-2025-59109）：对于新版K7门禁管理器，其UART调试接口未加保护，攻击者通过物理接触可以中断启动过程，进入 bootloader，从而修改内核参数获得 root shell。对于带PIN键盘的登记单元，其内部UART接口会在用户按键时输出坐标数据，通过植入一个微型的硬件设备（如Raspberry Pi Pico），可以实时窃取并外传输入的PIN码。

攻击的现实可能性：网络隔离神话？

dormakaba 在设计上要求门禁管理器必须安装在安全区域内。然而，SEC Consult 基于其丰富的实战评估经验指出，在现实世界中，攻击者获得必要网络访问权限的途径比想象中多得多：

1. 第三方设备作为跳板：许多企业为增强安全，会在门旁安装指纹识别器或考勤终端等生物识别设备。这些设备通常通过以太网接入内部网络，且物理上位于非安全区。攻击者只需拧下几颗螺丝，断开其网络线并接入自己的设备，即可直达门禁系统网络。

2. 脆弱的网络分区（区域跨越）：大型场所通常划分安全等级不同的区域（如公共区、访客区、办公区、核心区），每个区域由独立的门禁管理器控制。然而，这些管理器往往部署在同一个扁平化的网络内，缺乏严格的网络分段或防火墙策略。攻击者一旦通过社交工程等手段进入访客区网络，并利用漏洞控制了访客区的门禁管理器，便能以此为跳板，攻击和控制内部更敏感区域的门禁管理器。

3. 最坏情况：直接暴露于互联网：通过Shodan、Censys等网络空间测绘平台，研究员震惊地发现了数十台直接暴露在互联网上的dormakaba门禁管理器。这些设备的管理界面、SOAP API等关键服务均可直接从公网访问。虽然dormakaba 表示这可能是测试环境或配置错误所致，但这一发现无疑表明，在极端情况下，远程、无物理接触的攻击是完全可行的。

厂商响应与修复之路

SEC Consult 以负责任的方式向 dormakaba 披露了所有漏洞。据披露时间线显示，双方在过去18个月里进行了密切合作。dormakaba 对此响应积极，提供了多轮补丁和一个全面的系统加固指南。修复的核心措施包括：

强制启用双向TLS（mTLS）：对于支持的新版K7设备，在 exos 9300 服务器与门禁管理器之间的关键通信上强制使用双向TLS认证，这是防止未认证API调用最有效的手段。然而，研究员指出，旧款K5设备因硬件性能限制无法支持mTLS，凸显了老旧设备升级的必要性。

移除或禁用危险服务：移除了过时的 SecLoc Mohito RPC 服务，并采取措施禁用或保护其他非必要服务。

修复具体漏洞：更新了存在路径穿越漏洞的Web服务器组件；修改了口令生成和存储机制；加强了对调试功能的访问控制等。

发布硬化指南：指导客户进行正确的网络分段、更改默认口令、定期更新固件等。

dormakaba在给SecurityWeek的声明中表示："为了利用这些漏洞，攻击者需要事先接入客户特定的基础设施（网络或硬件）。因此，只有从客户自身受保护的网络内部才有可能进行利用。" 同时，他们"未获悉任何已识别的漏洞被利用的案例"。

结论与启示

SEC Consult 对dormakaba exos系统的深度研究，如同一面镜子，映照出关键物理访问控制系统普遍面临的安全挑战：

1. 物理安全与网络安全深度交融：现代门禁系统本质上是部署在物理空间中的IT网络。对其实施的网络攻击，会直接转化为物理世界的安全突破。任何安全评估都必须将两者视为一个整体。

2. 复杂性与遗留代码的代价：exos系统历时悠久，架构复杂，其中包含大量遗留代码和组件（如近20年未更新的演示用Web服务器）。这种复杂性极大地增加了安全维护的难度，并容易滋生"安全盲区"。

3. 默认配置与供应链安全：弱默认口令、不强制修改口令的策略、以及安装商可能未严格遵循安全部署指南，共同在供应链下游制造了大量脆弱点。

4. 深度防御的缺失：研究发现，从网络边界（如第三方设备接入）、到主机服务（无认证API）、再到数据保护（明文存储PIN码）和硬件接口（开放UART），系统在多个层面缺乏有效的纵深防御。一旦一层被突破，往往意味着全面失守。

这项研究不仅促使dormakaba提升了其产品安全性，也为所有依赖类似物理访问控制系统的组织敲响了警钟。它强烈建议：企业应立即联系供应商核查自身系统版本与配置；严格执行网络隔离，将门禁系统置于独立的VLAN中，并严格控制访问策略；定期进行安全审计和渗透测试，特别是针对这类融合了物理与网络边界的复杂系统。在数字时代，一扇门的坚固程度，不仅取决于它的金属材质，更取决于守护它的每一行代码与每一条网络命令是否安全。