Анализ гибридной системы биометрического доступа от китайского производителя ZKTeco выявил два десятка брешей в системе безопасности, которые могут быть использованы злоумышленниками для нарушения аутентификации, кражи биометрических данных и даже развертывания вредоносных бэкдоров.
"Добавляя случайные пользовательские данные в базу данных или используя поддельный QR-код, злоумышленник может легко обойти процесс проверки и получить несанкционированный доступ", - сказал Касперский. "Злоумышленники также могут красть и сливать биометрические данные, удаленно манипулировать устройствами и использовать бэкдоры".
Эти 24 недостатка охватывают шесть SQL-инъекций, семь переполнений буфера на основе стека, пять командных инъекций, четыре произвольные записи в файл и два произвольных чтения в файл. Краткое описание каждого типа уязвимости приведено ниже. -
Кроме того, успешное использование недостатков может позволить злоумышленникам получить доступ к зонам с ограниченным доступом и даже внедрить бэкдоры для проникновения в критически важные сети с целью кибершпионажа или подрывных атак.
Российская компания по кибербезопасности, которая выявила недостатки после обратного проектирования встроенного ПО (версия ZAM170-NF-1.8.25-7354- Версия 1.0.0) и проприетарный протокол, используемый для связи с устройством, заявили, что не имеют представления о том, были ли исправлены эти проблемы.
Для снижения риска атак рекомендуется перенести использование биометрического считывателя в отдельный сегмент сети, использовать надежные пароли администратора, улучшить настройки безопасности устройства, свести к минимуму использование QR-кодов и поддерживать системы в актуальном состоянии.
"Биометрические устройства, предназначенные для повышения физической безопасности, могут как предлагать удобные и полезные функции, так и создавать новые риски для вашей ИТ-системы", - сказал Касперский.
"Когда передовые технологии, такие как биометрия, заключены в плохо защищенное устройство, это практически сводит на нет преимущества биометрической аутентификации. Таким образом, недостаточно настроенный терминал становится уязвимым для простых атак, что позволяет злоумышленнику легко нарушить физическую безопасность критически важных зон организации."
"Добавляя случайные пользовательские данные в базу данных или используя поддельный QR-код, злоумышленник может легко обойти процесс проверки и получить несанкционированный доступ", - сказал Касперский. "Злоумышленники также могут красть и сливать биометрические данные, удаленно манипулировать устройствами и использовать бэкдоры".
Эти 24 недостатка охватывают шесть SQL-инъекций, семь переполнений буфера на основе стека, пять командных инъекций, четыре произвольные записи в файл и два произвольных чтения в файл. Краткое описание каждого типа уязвимости приведено ниже. -
- CVE-2023-3938 (оценка CVSS: 4,6) - Ошибка SQL-инъекции при отображении QR-кода в камеру устройства путем передачи специально созданного запроса, содержащего кавычки, что позволяет злоумышленнику аутентифицироваться как любому пользователю в базе данных
- CVE-2023-3939 (оценка CVSS: 10.0) - набор недостатков при внедрении команд, позволяющий выполнять произвольные команды ОС с правами root
- CVE-2023-3940 (оценка CVSS: 7.5) - набор ошибок при чтении произвольных файлов, которые позволяют злоумышленнику обойти проверки безопасности и получить доступ к любому файлу в системе, включая конфиденциальные данные пользователя и системные настройки
- CVE-2023-3941 (оценка CVSS: 10.0) - набор ошибок произвольной записи файлов, который позволяет злоумышленнику записать любой файл в системе с правами root, включая изменение базы данных пользователей для добавления пользователей-изгоев
- CVE-2023-3942 (оценка CVSS: 7.5) - набор недостатков SQL-инъекции, который позволяет злоумышленнику внедрять вредоносный SQL-код и выполнять несанкционированные операции с базой данных, а также перекачивать конфиденциальные данные
- CVE-2023-3943 (оценка CVSS: 10.0) - набор недостатков переполнения буфера на основе стека, который позволяет злоумышленнику выполнять произвольный код
Кроме того, успешное использование недостатков может позволить злоумышленникам получить доступ к зонам с ограниченным доступом и даже внедрить бэкдоры для проникновения в критически важные сети с целью кибершпионажа или подрывных атак.
Российская компания по кибербезопасности, которая выявила недостатки после обратного проектирования встроенного ПО (версия ZAM170-NF-1.8.25-7354- Версия 1.0.0) и проприетарный протокол, используемый для связи с устройством, заявили, что не имеют представления о том, были ли исправлены эти проблемы.
Для снижения риска атак рекомендуется перенести использование биометрического считывателя в отдельный сегмент сети, использовать надежные пароли администратора, улучшить настройки безопасности устройства, свести к минимуму использование QR-кодов и поддерживать системы в актуальном состоянии.
"Биометрические устройства, предназначенные для повышения физической безопасности, могут как предлагать удобные и полезные функции, так и создавать новые риски для вашей ИТ-системы", - сказал Касперский.
"Когда передовые технологии, такие как биометрия, заключены в плохо защищенное устройство, это практически сводит на нет преимущества биометрической аутентификации. Таким образом, недостаточно настроенный терминал становится уязвимым для простых атак, что позволяет злоумышленнику легко нарушить физическую безопасность критически важных зон организации."
