2026年1月26日,知名网络安全研究机构SEC Consult Vulnerability Lab发布重磅安全报告,披露全球知名安防企业dormakaba旗下exos 9300门禁控制系统存在20余个高风险及临界级安全漏洞,涵盖未授权访问、硬编码凭证、命令注入、本地提权等多个类型。攻击者可通过这些漏洞实现远程无认证开门、批量窃取门禁PIN码、篡改系统配置与访问日志,甚至完全掌控整个门禁体系。该系统广泛应用于欧洲机场、能源企业、物流枢纽、数据中心等关键基础设施场景,此次漏洞曝光直接波及数千家企业,再度敲响了物理安防与网络安全融合时代下,关键基础设施防护的警钟。
一、漏洞溯源:一款高端门禁系统的全链路安全失守
SEC Consult的研究契机源于一次偶然的设备闲置——2017年其为维也纳办公室部署的dormakaba exos 9300系统,在2023年搬迁后成为完整的实战测试环境。这套由中央管理软件、门禁管理器、RFID/PIN登记单元组成的企业级门禁体系,本是物理安防的"标杆配置",却在研究人员的测试中暴露出全链路的安全缺陷,且漏洞利用的简易程度、危害的严重程度均超出行业预期。
此次曝光的20余个漏洞并非孤立存在,而是覆盖了从中央服务器到边缘硬件、从软件接口到硬件调试层、从数据存储到网络通信的所有核心环节,其中5个临界级、高风险漏洞成为攻击者突破系统的核心抓手,且多个漏洞可组合利用形成"攻击链",实现从网络访问到物理入侵的无缝衔接。
(一)临界级漏洞:无认证即可远程操控门禁核心
- SOAP API身份验证缺失(CVE-2025-59097):门禁管理器8002端口的SOAP API是系统核心控制接口,负责接收"释放门锁"等关键指令,但该接口默认无任何认证机制。攻击者只需获取设备IP,发送指定设备ID的XML请求,即可直接远程开门,影响所有K5系列及未启用mTLS的K7系列设备,是此次漏洞中最易被利用的"致命缺陷"。
- 硬编码凭证暗藏系统深处(CVE-2025-59091):系统数据点服务器(负责门禁状态可视化)中隐藏着4组硬编码"幽灵账户",攻击者可通过1004/1005端口使用这些默认凭证直接登录,发送明文指令实现远程开门,这类遗留凭证成为系统"先天安全漏洞"。
- 老旧RPC服务未清理(CVE-2025-59092):为早已淘汰的塞班手机设计的SecLoc Mohito RPC服务仍在4000端口监听,该服务不仅未做认证限制,且协议设计简单,攻击者发送特定格式RPC对象即可直接操控门状态,属于典型的"技术债务"引发的安全风险。
(二)高风险漏洞:核心数据泄露与系统完全失控
- 数据库密码可轻松推导(CVE-2025-59093):系统后端MSSQL数据库的访问密码由主机名、注册表可读随机串等元素通过固定算法生成,本地低权限用户即可通过注册表信息推导出完整密码,进而获取Exos9300Common账户权限,实现PIN码、用户权限等核心数据的窃取与篡改。
- 本地提权直达系统最高权限(CVE-2025-59094):系统自带的d9sysdef.exe程序存在权限设计缺陷,攻击者可通过该程序指定任意恶意程序以SYSTEM最高权限运行,实现权限提升后对系统的持久化控制,甚至可植入后门程序长期潜伏。
- 边缘设备漏洞成"最后一道防线"的突破口:门禁管理器的4502端口调试服务可通过未认证SOAP调用开启,开启后会实时广播PIN键盘输入信息,攻击者可直接窃取用户输入的PIN码;旧版K5设备搭载的CompactWebServer存在路径穿越漏洞,可直接读取设备本地的SQLite数据库,获取所有明文存储的门禁密码与配置信息;新版K7设备的UART调试接口未做保护,物理接触即可获得root权限,实现固件篡改。
(三)辅助漏洞:攻击行为完美隐藏与持续渗透
除核心漏洞外,系统还存在日志伪造、敏感数据弱加密等辅助漏洞,进一步降低了攻击成本,提升了攻击的隐蔽性。例如系统中央SOAP API可无认证伪造任意时间的门禁访问日志,攻击者可完美掩盖非法进入痕迹;PIN码等敏感数据采用以企业创始人姓名为硬编码密钥的XOR简单混淆,而非真正的加密算法,可被瞬间逆向解密;部分设备Web管理界面默认密码为"admin",且不强制修改,成为攻击者的"入门捷径"。
二、风险放大:网络隔离神话破灭,关键基础设施成重灾区
dormakaba在系统设计文档中明确要求门禁管理器需部署在安全隔离区域,看似从网络层面规避了外部攻击风险,但SEC Consult的研究与实际攻防实践均证明,物理安防系统的网络隔离在现实场景中极易被突破,这也让此次漏洞的实际危害呈指数级放大。
攻击者获取门禁系统网络访问权限的路径远超想象:一是通过门旁的指纹识别器、考勤终端等第三方设备作为跳板,这类设备通常位于非安全区且接入内部网络,攻击者只需物理接触即可替换设备接入门禁网络;二是企业内部网络分区设计薄弱,办公网与安防网未做严格的访问控制,攻击者突破办公网后可轻松横向移动至门禁系统;三是部分企业为了远程管理便利,直接将门禁系统管理接口暴露在公网,成为攻击者的"目标清单"。
此次漏洞的影响范围并非局限于单一企业或行业,而是覆盖了欧洲数千家部署该系统的关键基础设施运营单位:机场的管制区、能源企业的发电车间、水处理厂的核心工艺区、数据中心的机房区域等,这些区域一旦被非法入侵,不仅会造成物理资产的损失,更可能引发连锁的生产安全事故,例如能源企业的门禁被突破可能导致工业控制系统被操控,引发区域性停电;机场门禁漏洞可能造成航空器管控区域的非法进入,威胁航空安全。
更值得警惕的是,此次漏洞并非个例,2025年Modat研究机构就曾披露全球有4.9万个物理访问管理系统因配置错误暴露在公网,涉及建筑、医疗、石油、政府等关键行业,数十万员工的生物特征、身份信息等敏感数据泄露;2025年底法国卢浮宫更是被曝出监控服务器弱密码、设备老化等安全隐患,且问题存在十余年未整改。这一系列事件表明,物理安防系统的安全漏洞已成为关键基础设施的普遍安全隐患,行业对物理安防的网络安全防护重视程度严重不足。
三、漏洞根源:物理安防与网络安全融合下的系统性缺陷
dormakaba exos 9300门禁系统的全链路安全失守,并非单纯的技术实现失误,而是折射出整个物理安防行业在数字化、网络化转型过程中,面临的三大系统性安全缺陷,也是此次漏洞爆发的核心根源。
1. 设计理念滞后:重功能实现,轻安全防护
物理安防设备厂商的传统设计思路以"功能可用"为核心,将门禁控制、状态监测等基础功能作为研发重点,而网络安全防护仅作为"附加功能",甚至部分厂商为了降低研发成本、提升产品兼容性,直接省略了必要的认证、加密机制。例如此次曝光的硬编码凭证、未清理的老旧服务,均是厂商为了保证系统"向下兼容"而遗留的安全问题;SOAP API无默认认证,则是为了简化设备部署与调试流程,忽视了网络访问的安全风险。
2. 管理体系割裂:物理安防与网络安全"各自为战"
在企业的安全管理体系中,物理安防通常由行政、安保团队负责,而网络安全则由IT、网络安全团队负责,两大团队之间缺乏有效的沟通与协同,形成了"安全盲区"。安保团队仅关注门禁设备的物理防拆、现场管控,对设备的网络配置、端口开放情况一无所知;IT团队则专注于办公网、业务网的防护,将物理安防系统视为"非核心设备",未纳入统一的网络安全管控体系,导致门禁系统成为企业网络的"安全孤岛",配置错误、漏洞存在等问题长期无法被发现。
3. 全生命周期防护缺失:重部署,轻运维与更新
物理安防设备具有"部署周期长、更新频率低"的特点,一套门禁系统通常会运行5-10年,而厂商对设备的安全维护、固件更新往往仅持续3-5年,后续的安全漏洞修复、功能升级基本处于停滞状态。企业在部署门禁系统后,也缺乏定期的安全检测与配置审计,默认设备"部署即安全",甚至部分企业因担心影响正常使用,拒绝对设备进行固件更新与配置调整,导致设备的安全漏洞长期存在,最终被攻击者利用。
四、应急处置:72小时核心防护措施,快速阻断攻击路径
针对dormakaba exos 9300门禁系统的漏洞,dormakaba官方已在2026年1月26日同步发布了漏洞修复版本,部署该系统的企业需立即启动应急处置流程,在72小时内完成核心防护措施的落地,快速阻断攻击者的利用路径,降低安全风险。
1. 版本升级与端口封禁:从源头封堵漏洞
立即将exos 9300中央管理软件、门禁管理器固件升级至官方最新修复版本,关闭系统中存在漏洞的非必要端口,包括1004/1005(硬编码凭证登录)、4000(老旧RPC服务)、4502(调试服务)等,仅保留业务必需的端口,并在防火墙中配置端口访问策略,限制仅指定管理终端可访问。
2. 认证机制启用:补齐核心安全防护短板
针对K7系列设备,立即启用mTLS双向认证;针对K5系列设备,部署IPsec协议,实现门禁系统与管理终端之间的加密通信;重置系统中所有硬编码账户密码,删除遗留的RPC服务进程FSMobilePhoneInterface.exe,杜绝未授权访问风险;修改门禁系统Web管理界面的默认密码,设置复杂密码并强制定期轮换。
3. 数据防护与权限管控:防止核心数据泄露
对门禁系统的数据库进行全面审计,限制Exos9300Common账户的访问权限,仅保留必要的读写权限;清理注册表中用于推导数据库密码的敏感信息,对PIN码、用户权限等核心数据进行重新加密,替换原有的XOR混淆方式为高强度加密算法;对K5系列设备的SQLite数据库进行保护,关闭不必要的数据库导出功能,防止数据被窃取。
4. 日志监控与异常检测:及时发现攻击行为
启用门禁系统的全量日志记录功能,包括端口访问、指令执行、设备状态变更等,将日志数据接入企业的SIEM安全管理平台,实现统一监控与分析;建立门禁异常行为告警机制,对非工作时段的开门操作、多设备同时解锁、陌生IP访问等异常情况进行实时告警,及时发现并处置非法攻击行为。
五、前瞻防护:重构物理安防安全体系,守护关键基础设施底线
dormakaba exos 9300门禁系统的漏洞事件,为所有关键基础设施运营单位与物理安防行业敲响了警钟:在万物互联的时代,物理安防与网络安全的边界已彻底模糊,物理安防系统已成为网络攻击的重要目标,传统的防护思路已无法适应新的安全形势。想要从根本上防范此类安全风险,需要从企业防护、行业升级、生态构建三个维度出发,重构物理安防安全体系,实现物理安防与网络安全的深度融合。
(一)企业层面:落地"零信任"物理安防理念,实现全维度防护
关键基础设施运营单位需摒弃"物理隔离即安全"的传统认知,将物理安防系统纳入企业统一的网络安全管控体系,落地"零信任"物理安防理念,做到"从不信任,始终验证"。一是实施严格的网络分区,将安防网与办公网、业务网进行物理隔离,部署工业防火墙、网闸等设备,限制跨区域的网络访问;二是对所有物理安防设备进行资产盘点与暴露面评估,关闭非必要的网络功能,对必须远程管理的接口,部署VPN、堡垒机等设备实现安全访问;三是建立物理安防与网络安全的联合响应机制,当发现门禁系统异常访问、设备被篡改等情况时,立即触发网络防御升级,阻断攻击链;四是定期开展红队演练,模拟攻击者从网络突破到物理入侵的全流程攻击,验证防护体系的有效性,及时发现并弥补安全短板。
(二)行业层面:强化厂商安全责任,推动物理安防设备安全标准化
物理安防行业需加快推动设备安全标准化建设,将网络安全防护纳入设备的研发、生产、测试全流程,强化厂商的安全主体责任。一是行业协会应制定物理安防设备的网络安全技术标准,明确设备的认证、加密、日志、漏洞修复等核心安全要求,未达到标准的设备不得进入市场;二是要求厂商建立设备全生命周期的安全维护体系,为设备提供至少5年的安全漏洞修复与固件更新服务,及时向用户推送安全预警与修复方案;三是推动厂商开展安全开发生命周期(SDL)建设,将安全测试、漏洞扫描、渗透测试等环节纳入设备研发流程,从源头减少安全漏洞的产生。
(三)生态层面:构建物理安防与网络安全融合的安全生态
想要实现物理安防的全面安全防护,需要构建政府、企业、厂商、安全服务机构协同联动的安全生态。一是政府部门应加强对关键基础设施物理安防的监管力度,将物理安防系统的安全防护纳入关键基础设施安全保护条例,开展定期的安全检查,对未落实防护措施的单位进行处罚;二是安全服务机构应加快研发针对物理安防设备的安全检测工具、漏洞扫描工具,为企业提供设备安全评估、漏洞修复、应急响应等专业服务;三是推动物理安防厂商与网络安全厂商的技术融合,联合研发具备高安全防护能力的智能安防设备,实现门禁、监控、报警等设备的安全联动,提升整体防护能力。
六、结语
dormakaba exos 9300门禁系统的20+漏洞,撕开的不仅是一款物理安防设备的安全缺口,更是整个关键基础设施物理安防体系的安全漏洞。在数字化、网络化、智能化的发展趋势下,关键基础设施的安全防护已不再是单一的网络安全或物理安防问题,而是需要实现二者的深度融合、协同防护。
此次事件也提醒我们,安全从来不是一项一次性的工作,而是一个持续迭代、不断完善的过程。对于关键基础设施运营单位而言,唯有摒弃侥幸心理,将物理安防系统的安全防护提升到与核心业务系统同等重要的位置,落地全维度、全生命周期的防护措施,才能守住安全底线;对于物理安防行业而言,唯有加快转变设计理念,推动安全标准化建设,才能适应新的安全形势,为关键基础设施提供可靠的物理安防保障。唯有如此,才能真正构建起物理与网络融合的安全防护体系,守护好维系社会运转的关键基础设施命脉。
)