近日，歐洲網(wǎng)絡(luò)安全初創(chuàng)公司Modat的研究人員發(fā)出警告：全球范圍發(fā)現(xiàn)4.9萬個(gè)配置錯(cuò)誤的物理訪問管理系統(tǒng)（AMS），導(dǎo)致數(shù)十萬員工和組織敏感信息暴露在公網(wǎng)之下，涉及建筑、醫(yī)療、石油和政府等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，凸顯了現(xiàn)代企業(yè)安全防御中的致命漏洞。

訪問管理系統(tǒng)（AMS）是一種通過生物識別、身份證或車牌控制員工訪問建筑物、設(shè)施和禁區(qū)的安全系統(tǒng)。全球共有4.9萬臺暴露的AMS設(shè)備，其中大部分（16,678臺）位于意大利，其次是墨西哥（5940臺）和越南（5035臺）。在美國，Modat發(fā)現(xiàn)了1966臺暴露的AMS系統(tǒng)。

根據(jù)Modat研究團(tuán)隊(duì)2025年初的調(diào)查（鏈接在文末），他們在常規(guī)安全掃描中發(fā)現(xiàn)了一個(gè)異常模式：全球數(shù)以萬計(jì)的AMS接口未受保護(hù)，直接面向互聯(lián)網(wǎng)。這些系統(tǒng)通常用于管理員工的身份驗(yàn)證、門禁權(quán)限和生物識別數(shù)據(jù)，但因配置不當(dāng)，敏感信息如個(gè)人身份詳情、工作日程甚至生物特征數(shù)據(jù)被完全暴露，具體如下：

• 個(gè)人身份信息（姓名、電子郵件地址、電話號碼）
• 指紋和面部識別等生物特征數(shù)據(jù)
• 照片
• 工作時(shí)間表
• 訪問日志可顯示誰進(jìn)入/退出以及何時(shí)進(jìn)入/退出

對于政府建筑和發(fā)電站、水處理設(shè)施等關(guān)鍵基礎(chǔ)設(shè)施而言，暴露的AMS的物理安全風(fēng)險(xiǎn)尤其令人擔(dān)憂。除了物理安全之外，暴露的信息還可以被用來針對暴露的組織發(fā)起魚叉式網(wǎng)絡(luò)釣魚和社會工程攻擊。

研究顯示，攻擊者可利用這些漏洞偽裝員工、非法進(jìn)入受限區(qū)域，或進(jìn)行身份盜用。在極端情況下，攻擊者甚至能篡改員工檔案，包括更換頭像以假冒身份，或修改訪問權(quán)限，監(jiān)控員工活動軌跡。

Modat的報(bào)告特別指出，一個(gè)車輛訪問控制系統(tǒng)漏洞尤為嚴(yán)重，攻擊者可通過該系統(tǒng)白名單或黑名單特定車牌，實(shí)時(shí)監(jiān)控車輛進(jìn)出設(shè)施的動態(tài)。這一發(fā)現(xiàn)不僅威脅到企業(yè)物理安全，還可能引發(fā)供應(yīng)鏈和關(guān)鍵基礎(chǔ)設(shè)施的連鎖風(fēng)險(xiǎn)。

報(bào)告強(qiáng)調(diào)，問題核心在于AMS的公網(wǎng)連接。Modat首席執(zhí)行官Soufian El Yadmani表示，許多組織未采取基本防護(hù)措施，如使用防火墻或VPN隔離系統(tǒng)，導(dǎo)致系統(tǒng)成為“敞開的大門”。為應(yīng)對這一危機(jī)，Modat建議企業(yè)立即采取行動：限制AMS的互聯(lián)網(wǎng)暴露、更改默認(rèn)憑據(jù)、啟用加密保護(hù)敏感數(shù)據(jù)、定期更新補(bǔ)丁、監(jiān)控訪問日志以發(fā)現(xiàn)異常活動。

值得注意的是，Modat已私下聯(lián)系受影響的系統(tǒng)所有者和組織，提供詳細(xì)漏洞報(bào)告，幫助他們修補(bǔ)安全漏洞。但報(bào)告也提醒其他可能存在類似問題的企業(yè)，需警惕自身AMS配置是否符合安全最佳實(shí)踐。

此次曝光事件再次提醒網(wǎng)絡(luò)安全從業(yè)者，訪問管理系統(tǒng)的配置失誤可能成為網(wǎng)絡(luò)攻擊的突破口，尤其在關(guān)鍵行業(yè)中，任何疏忽都可能引發(fā)災(zāi)難性后果。