如果你去過機場、校園、醫院及政府等出入複雜的地方或辦公大樓，你可能看過HID這牌子的讀卡機出現在門禁區前。HID是世界上最大的門禁控制系統製造商之一，成為許多大型企業實體安全的一部分。這些讀卡機會連結背後的門禁控制器，這設備可以控制門禁相關功能，包括上鎖和開鎖、排程和發出警報等。

近年來，這些門禁控制器也會提供網路遠端管理。可以更加方便地更新門禁卡資料庫和進行排程工作，但就跟其他連網事物一樣，也會面臨遠端漏洞攻擊的風險。而對實體安全來說，這風險比其他都更加真實。

HID的兩大門禁控制器產品線是VertX和Edge平台。為了讓這些控制器可以更加容易整合到現行的存取控制建置，它們提供一個discoveryd服務來回應特定UDP封包。遠端管理系統可以對端口4070進行廣播，網路上所有的門禁控制器都會加以回應，並提供MAC地址、設備類型、韌體版本、甚至包括名稱（如「外北門」）等資訊。這是該服務的用途。但這並非該服務的唯一功能。出於某種原因，discoveryd還可以變更控制器上LED燈的閃爍模式。這是透過發送「command_blink_on」封包給discoveryd服務並加上LED燈的閃爍次數。Discoveryd服務會接著建立/mnt/apps/bin/blink，並呼叫system()以上述數字做為參數來執行閃爍程式。

你可能已經猜到接下來會發生什麼事。

此功能存在一個指令注入漏洞，因為缺少對使用者所提供輸入給system()的檢查過濾。如果我們並非發送LED閃爍次數，而是用反引號包住的Linux指令，如`id`，它就會被設備上的Linux shell所執行。更糟的是，discoveryd服務是以root身份執行，所以我們所送出的任何指令也都將以root執行，讓我們能夠有效地完全控制該設備。因為這裡所討論的是門禁控制器，完全控制也包括所有的警報和上鎖功能。這代表只要一些簡單的UDP封包而無須任何身份驗證，就可以永久解鎖連到控制器上的每一扇門。而且也可以想辦法讓遠端管理系統再也無法重新上鎖。最重要的是，由於discoveryd服務會回應廣播的UDP封包，你可以在同一時間對網路上的每一道門這樣做！

不用說，這是個具有潛在摧毀性後果的錯誤。零時差計畫（ZDI）團隊與HID合作來進行修復，現在據報在HID的合作夥伴網站已經可以取得修補程式，但我尚未能親自驗證此修復程式。而且也必須觀察修補程式需要花多久時間佈署到客戶環境。在修補程式提供前，TippingPoint客戶自2015年9月22日開始就可以透過數位疫苗編號20820來取得保護。

＠原文出處：Let Me Get That Door for You: Remote Root Vulnerability in HID Door Controllers作者：Rick Lawshae