Una vulnerabilidad de seguridad permite a un intruso desbloquear una habitación de hotel con una tarjeta de acceso falsa
22 de marzo de 2024
seguridad hoy
Una vulnerabilidad de seguridad recientemente revelada podría permitir a un individuo utilizar técnicas de piratería de tarjetas de acceso para abrir la puerta de una habitación de hotel o de un complejo de apartamentos.
La vulnerabilidad afecta a la popular serie Saflok de cerraduras electrónicas RFID fabricadas por dormakaba y se reveló originalmente en un informe de la revista WIRED. La vulnerabilidad, conocida como Unsaflok, afecta a tres sistemas Saflok: System 6000, Ambiance y Community, y al menos a cinco series de cerraduras Saflok: Confidant, RT, Saffire, Saflok MT y Quantum.
“En conjunto, las vulnerabilidades identificadas podrían permitir a un atacante desbloquear todas las habitaciones de un hotel utilizando un único conjunto de tarjetas de acceso falsificadas”, afirman los investigadores Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, sshell y Will Caruana en un artículo en su sitio web. . “Más de 3 millones de cerraduras de hoteles en 131 países están afectadas”.
Dormakaba no respondió a la solicitud de Security Management de comentar sobre este asunto. Sin embargo, un comunicado del Centro de soporte de seguridad dijo que los investigadores habían informado de la vulnerabilidad a la empresa. El hack afecta “el algoritmo de derivación de claves utilizado para generar claves MIFARE Classic y el algoritmo de cifrado secundario utilizado para proteger los datos de claves subyacentes”, dijo el fabricante.
Dormakaba está implementando mitigaciones para esta vulnerabilidad y recomienda que todos los clientes tomen medidas lo antes posible.
“No hemos recibido ningún informe de que este problema haya sido explotado”, dijo Dormakaba. “Sin embargo, recomendamos encarecidamente a todos los clientes que aún no hayan realizado sus actualizaciones de seguridad programadas que resuelvan esta vulnerabilidad lo antes posible”.
Dormakaba proporciona herramientas de autoevaluación y guías de autoservicio para ayudar a los profesionales de seguridad a identificar si sus activos se ven afectados por vulnerabilidades.
Además, los investigadores señalan que el personal de seguridad puede detectar vulnerabilidades auditando los registros de entrada/salida.
“El personal del hotel puede auditar esto a través del dispositivo HH6 y buscar registros de entrada/salida sospechosos”, explican los investigadores. “La vulnerabilidad podría permitir que los registros de entrada/salida se atribuyan a la tarjeta de acceso o al miembro del personal incorrecto”.
Abordar la vulnerabilidad es una prioridad absoluta, ya que una tarjeta de acceso maliciosa podría desactivar el software de la cerradura afectada y provocar que el cerrojo se retraiga. Las personas que se alojen u ocupen unidades afectadas deben utilizar medidas de seguridad alternativas, como candados de cadena, para evitar la entrada no autorizada.
El método de ataque descubierto por los investigadores se puede llevar a cabo utilizando cualquier dispositivo que pueda leer, escribir y emular tarjetas MIFARE Classic, como teléfonos inteligentes Android con NFC, Proxmark3 y herramientas Flipper Zero.
“Su método comienza obteniendo una tarjeta de acceso para el hotel objetivo, como reservar una habitación allí o retirar la tarjeta de acceso de una caja de tarjetas de acceso usadas, un dispositivo de lectura/escritura RFID de 300 dólares lee un código específico de esa tarjeta y. finalmente escribe dos tarjetas de acceso únicas”, informa WIRED. “Si tocas ligeramente la cerradura con esas dos tarjetas, la primera reescribirá ciertos datos en la cerradura y la segunda tarjeta abrirá la cerradura”.
Los investigadores descubrieron la vulnerabilidad y compartieron sus hallazgos con Dormaka Kaba en septiembre de 2022. Desde entonces, los investigadores se han reunido con representantes de Dormaka Kaba al menos 14 veces. Según el sitio web de los investigadores, el hotel comenzó a actualizar sus sistemas para resolver la vulnerabilidad en noviembre de 2023. Los investigadores publicaron sus hallazgos en marzo de 2024.
A pesar de este largo proceso, los investigadores revelaron en su sitio web que, hasta marzo de 2024, solo el 36% de las cerraduras afectadas habían sido actualizadas o reemplazadas.
“Cada mejora de hotel es un proceso intensivo”, explican. “Todas las cerraduras requieren actualizaciones o reemplazos de software. Además, se deben volver a emitir todas las tarjetas de acceso, se deben actualizar el software de la recepción y los codificadores de tarjetas, y también pueden requerir integraciones de terceros (ascensores, estacionamientos, sistemas de pago, etc.). actualizaciones”.
Lee Odess, director ejecutivo de Access Control Executive Brief, dijo que las actualizaciones de los hoteles a menudo dependen de técnicos locales que trabajan en ciclos tecnológicos de siete años, lo que hace que sea más difícil abordar las vulnerabilidades de los estados. Si un técnico es consciente de una vulnerabilidad, probablemente esté sopesando el riesgo de que la vulnerabilidad sea explotada frente al costo de tomar medidas inmediatas.
VingCards, el sistema de bloqueo con tarjeta de acceso original del hotel, fue inventado por Tor Sørnes, que quería mejorar la seguridad del hotel después de escuchar historias de mujeres atacadas en habitaciones de hotel. En aquella época, las llaves de los hoteles solían estar hechas de metal y tenían escrito el nombre del hotel, la dirección y el número de habitación.
Se percibió que la actualización al nuevo sistema basado en tarjetas de acceso empleaba una solución más segura que las medidas de control de acceso anteriores. Pero en una publicación de LinkedIn y en una entrevista con Security Management, Odess dijo que a medida que la industria de la seguridad avanza hacia el mercado principal, es necesario elevar los estándares.
“Nuestra industria ha sobrevivido gracias a tecnología de hace 30 años, y mientras proporcionemos algo que se considere que mantiene alejados a los malos, está bien”, explicó Odes. Añadió que es necesario elevar el nivel. de definiciones de seguridad. “Ahora necesitamos hacer más que mantener alejada a la gente mala. Necesitamos traer a la gente adecuada”.
Fuente: https://www.asisonline.org/security-management-magazine/latest-news/today-in-security/2024/march/Security-Vulnerability-Allows-Attackers-Unlock-Hotel-Rooms/