中钢协警告称，Prima FlexAir门禁系统存在严重漏洞

华盟君引言“美国网络安全和基础设施安全局(CISA)发布了一份警告，警告Prima systems生产的访问控制系统存在严重漏洞。”

Prima门禁拥有广泛的解决方案，包括壁挂式阅读器、电子锁筒、停车场门禁控制和电梯控制。漏洞清单包括操作系统命令注入、不受限制上传带有危险类型的文件、跨站点请求伪造、随机值空间小、跨站点脚本、将备份文件暴露在未经授权的控制范围、不正确的身份验证和使用硬编码凭证。

应用风险的Gjoko Krstic报告说，这些漏洞很容易被远程攻击者利用，从而获得对受影响系统的完全访问权限。

“利用这些漏洞可能允许攻击者直接在操作系统上执行命令,上传恶意文件,执行操作与管理权限,在用户的浏览器中执行任意代码,发现登录凭证,绕过正常的认证,并有完整的系统访问,“读取中钢协发布的安全顾问。

最严重的漏洞，跟踪为CVE-2019-7670，是一个操作系统命令注入缺陷。

Prima Systems FlexAir，版本2.3.38及以上。应用程序错误地消除了一些特殊元素，这些元素可能在将OS命令发送到下游组件时修改预期的OS命令，这可能允许攻击者直接在操作系统上执行命令。该缺陷的描述如下。

该漏洞的CVSS得分为10。

另一个问题，跟踪为CVE-2019-7669，是一个不正确的文件扩展名验证时，上传的文件被评为CVSS评分9.1。通过远程身份验证的攻击者可以利用此漏洞在应用程序的web根目录中以根权限上传和执行恶意应用程序。

另一个关键问题是CVE-2019-7672，得分为8.8。

flash版本的web界面包含一个硬编码的用户名和密码，这可能允许经过身份验证的攻击者升级特权。NIST发布的这份建议中写道。

专家还发现，应用程序生成具有可预测名称的数据库备份文件。这个问题被跟踪为CVE-2019-7667，攻击者可以利用它进行蛮力攻击来识别数据库备份文件名。攻击者可以下载数据库并公开登录信息，然后使用它获得对系统的完全访问权。

Prima系统在2.5.12版本中解决了这些漏洞。

要更新到最新固件，每个用户应该在GUI的“Centrals”菜单中选择“Check for Upgrade”选项。用户的控制器将连接到Prima系统服务器并更新到最新版本。中国钢铁工业协会的建议总结道。

“中国钢铁工业协会建议用户采取防御措施，将利用这一漏洞的风险降到最低。特别地,用户应该:

尽量减少所有控制系统设备和/或系统的网络暴露，并确保它们不能从Internet访问。

定位防火墙后面的控制系统网络和远程设备，并将它们与业务网络隔离。

当需要远程访问时，使用安全的方法，如虚拟专用网(VPNs)，认识到VPNs可能有漏洞，应该更新到当前可用的版本。还要认识到VPN的安全性只取决于连接的设备。”