Luki w systemach kontroli dostępu dormakaba: jak „cyber” może przełożyć się na otwieranie drzwi w realu

Wprowadzenie do problemu / definicja luki

Systemy PACS (Physical Access Control Systems) – serwery zarządzania, kontrolery przejść, rejestratory/kioski (PIN, RFID, biometria) – są dziś częścią krytycznej infrastruktury organizacji: biur, logistyki, energetyki czy lotnisk. Gdy w takim ekosystemie pojawiają się podatności typu brak uwierzytelnienia, hardcoded credentials/keys, słabe hasła domyślne czy command injection, ryzyko nie kończy się na „danych” – może dotyczyć też fizycznego dostępu do stref chronionych.

W skrócie

• Badacze SEC Consult opisali ponad 20 podatności w środowisku kontroli dostępu dormakaba (m.in. exos 9300, Access Manager, registration unit).
• Scenariusze nadużyć obejmują m.in. zdalne otwieranie drzwi, zmianę konfiguracji kontrolerów i pozyskanie wrażliwych danych (np. PIN-ów).
• Producent wskazuje, iż do skutecznej eksploatacji zwykle potrzebny jest dostęp do sieci/infrastruktury klienta, ale SEC Consult zwraca uwagę na przypadki systemów wystawionych do internetu, co zmienia profil zagrożenia.
• dormakaba opublikowała biuletyny i aktualizacje oraz wytyczne hardeningu (m.in. podniesienie wersji exos 9300 i zabezpieczenie komunikacji z kontrolerami).

Kontekst / historia / powiązania

Opisane podatności dotyczą rozwiązań wdrażanych głównie w dużych organizacjach w Europie (m.in. przemysł, usługi, logistyka, energetyka, operatorzy lotnisk). SEC Consult podkreśla też typowy problem tej klasy systemów: wysoki próg wejścia dla niezależnych badań (koszt, dostępność, złożoność), co często skutkuje niższą „częstotliwością pentestów” niż w przypadku popularnych aplikacji webowych.

Analiza techniczna / szczegóły luki

Poniżej najważniejsze klasy podatności i przykładowe, konkretne wektory opisane w materiałach producenta i badaczy:

1) Brak uwierzytelnienia usług / interfejsów zarządzania

W biuletynie producenta dla exos 9300 pojawia się m.in. problem nieautoryzowanego dostępu do SOAP API (port 8002), które ma umożliwiać m.in. odpytywanie informacji wrażliwych (np. PIN-y 2FA powiązane z kartami) oraz generowanie zdarzeń logów.

2) Hardcoded credentials i możliwość sterowania kontrolerami

W tym samym advisory wskazano wbudowane (hard-coded) poświadczenia dla kont „legacy”, które mogą umożliwiać logowanie do usługi pośredniczącej w komunikacji statusów z Access Managerami (m.in. porty 1004/1005), a w konsekwencji także wysyłanie komend – w tym otwierania drzwi.

3) Słabe mechanizmy ochrony sekretów (klucze/„szyfrowanie” PIN-ów)

W advisory producent opisuje też przypadki hard-coded sekretów oraz słabe podejścia do ochrony danych (np. statyczny klucz / niestandardowe mechanizmy), co przekłada się na ryzyko ujawnienia lub odtworzenia wrażliwych informacji przechowywanych w bazie.

4) Lokalna eskalacja uprawnień i podatności konfiguracyjne

Część problemów ma charakter „post-exploitation” (np. lokalne podbicie uprawnień na serwerze aplikacyjnym), co jest szczególnie groźne w scenariuszach: dostęp gościa do sieci, kompromitacja stacji admina, przeskok z innego segmentu OT/IT.

Praktyczne konsekwencje / ryzyko

W praktyce taki łańcuch podatności może umożliwić:

• otwieranie wybranych przejść (drzwi/bramki) bez autoryzacji lub z pominięciem standardowych ścieżek,
• rekonesans i eskalację: podejrzenie konfiguracji, relacji kontrolerów, topologii stref, a także dalsze nadużycia w sieci (pivoting),
• kompromitację danych uwierzytelniających (PIN-y, informacje o kartach/użytkownikach, logi zdarzeń),
• atak mieszany cyber–physical: kradzież, sabotaż, wejście do serwerowni, stref OT, magazynów wysokiej wartości.

Istotny niuans z punktu widzenia ryzyka: vendor akcentuje „wymóg dostępu do sieci klienta”, ale badacze wskazali na przypadki internet-exposed instancji, które potencjalnie dają drogę ataku „z zewnątrz” bez wcześniejszego wejścia do sieci.

Rekomendacje operacyjne / co zrobić teraz

Jeżeli w organizacji działa dormakaba / Kaba exos 9300 lub komponenty powiązane (Access Manager, registration unit), sensowny plan „na teraz”:

1. Inwentaryzacja i ekspozycja

• Sprawdź, gdzie działa exos 9300 oraz urządzenia peryferyjne (kontrolery/rejestratory).
• Zweryfikuj, czy cokolwiek jest wystawione do internetu (VPN ≠ internet; sprawdź też NAT/port-forward i „tymczasowe” wyjątki).

2. Aktualizacje i twarde minimum wersji

• Producent zaleca aktualizację exos 9300 do nowszych wydań (w advisory pojawia się próg co najmniej 4.4.x / 4.4.1 dla części podatności) oraz wdrożenie zadań mitygacyjnych i hardeningu.

3. Segmentacja + ograniczenie portów/usług

• Zablokuj dostęp do usług zarządzania z sieci nieadministracyjnych.
• Zastosuj zasady „deny by default” na poziomie ACL/Firewall w segmentach PACS.

4. Zabezpieczenie komunikacji do kontrolerów

• W biuletynie wskazano m.in. szyfrowanie kanałów do Access Managerów: IPsec (dla określonych generacji) oraz mTLS/HTTPS dla nowszych wdrożeń, a także domyślne HTTPS w nowych instalacjach przy exos 4.4.x (zależnie od scenariusza).

5. Higiena poświadczeń i monitoring

• Usuń/wyłącz konta nieużywane, zmień hasła domyślne (tam gdzie dotyczy).
• Wdróż alerty na nietypowe komendy „door open”, zmiany konfiguracji kontrolerów i anomalie w logach systemu.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

To zdarzenie wyróżnia się tym, iż dotyczy systemu, w którym skutkiem incydentu może być natychmiastowy wpływ fizyczny (otwieranie drzwi/stref). W klasycznych podatnościach IT konsekwencją bywa „tylko” wyciek lub przerwa w działaniu; tutaj ryzyko obejmuje też bezpieczeństwo ludzi, ciągłość operacji i ochronę obiektów.

Podsumowanie / najważniejsze wnioski

• PACS to nie „zwykły IoT” – to infrastruktura, w której błędy w auth/sekretach mogą przełożyć się na realny dostęp do obiektów.
• Najbardziej krytyczne są scenariusze: brak uwierzytelnienia usług, hardcoded credentials, oraz błędna ekspozycja do internetu.
• Aktualizacje i hardening od producenta są dostępne – ale najważniejsze jest też to, co po stronie klienta: segmentacja, kontrola ekspozycji, szyfrowanie kanałów, monitoring i proces zarządzania poprawkami.

Źródła / bibliografia

1. SecurityWeek – opis podatności i kontekstu wdrożeń (26 stycznia 2026). (SecurityWeek)
2. SEC Consult – „Hands-Free Lockpicking…” (26.01.2026) + odnośniki do advisory. (SEC Consult)
3. dormakaba Group – lista Security Advisories (26 stycznia 2026). (EN – dormakaba Group)
4. dormakaba – DKSA-26-26-012 (PDF) „Kaba exos 9300” (CVE m.in. 2025-59090…59096). (Contentful Assets)