默认密码给北美地区公寓大楼带来重大安全风险

安全研究人员在研究中发现，广泛使用的门禁控制系统包含一个不安全的默认密码。北美数千栋建筑的默认密码不安全，任何人都可以轻松远程访问。Eric Daigle 发现，北美仍有许多住宅和商业地产尚未修改其门禁系统的默认密码，其中许多人甚至没有意识到。

当安全研究员 Eric Daigle 检查一栋公寓楼的门禁控制面板时，他无意中发现了近年来最令人担忧的安全问题之一。他在一次例行观察时发现一个影响全国数百座住宅楼的严重安全漏洞，漏洞会造成广泛的经济损失。

去年年底，Eric Daigle 在日常活动中注意到一个不寻常的门禁控制面板，从此对该系统产生了兴趣。他在网上搜索了“MESH by Viscount”，找到了一个介绍其远程访问功能的销售页面，随后发现了一份可供下载的 PDF 安装指南。

门禁系统通常会配置一个默认密码，管理员需要更改该密码以匹配其凭证。

Daigle发现安装手册没有提供关于如何修改这些凭据的明确说明。在进一步调查用户界面的登录页面标题后，他发现该产品有多个可公开访问的登录门户。令人震惊的是，经过这项研究，他能够使用默认凭据访问第一个，这凸显了一个严重的安全漏洞。

Enterphone MESH 门禁系统目前归 Hirsch 所有，Hirsch 已宣布，为了解决此安全漏洞，将很快发布一个软件补丁，要求用户尽快更改其默认密码。互联网连接设备通常有一个默认密码，该密码通常包含在产品手册中，以方便初始设置过程。

Hirsch 的门禁解决方案在安装时不会提示客户，也不需要他们修改默认密码，这导致许多系统面临未经授权访问的风险。

该漏洞编号为 CVE-2025-26793。

现代建筑安全系统越来越多地与物联网 (IoT) 技术相结合，尤其是在寻求更先进的替代传统电话线门禁系统的公寓大楼中。Hirsch Mesh 具有基于 Web 的门户，可以跟踪和记录整个大型建筑中门禁系统的使用情况，以及允许远程访问建筑物内的各个入口点并进行远程控制。

然而，系统默认登录凭据的可访问性引发了一个关键的安全问题，因为它们公开发布在安装手册中，可以通过在线搜索轻松获取，因为安装程序提供了默认登录凭据的列表。

Hirsch 的门禁系统被 FBI 评为高度脆弱，同时，该系统也被评为高威胁，严重性等级为 10。利用该漏洞只需付出很少的努力。

新闻链接：

https://www.cysecurity.news/2025/03/default-password-creates-major-security.html

讲述普通人能听懂的安全故事