Analýza hybridního biometrického přístupového systému od čínského výrobce ZKTeco odhalila dvě desítky bezpečnostních chyb, které by útočníci mohli využít k překonání autentizace, krádeži biometrických dat, a dokonce i nasazení škodlivých zadních vrátek.
24 chyb zahrnuje šest injektáží SQL, sedm přetečení vyrovnávací paměti založené na zásobníku, pět injektáží příkazů, čtyři libovolné zápisy souborů a dvě libovolná čtení souborů. Stručný popis jednotlivých typů zranitelností je uveden níže:
CVE-2023-3938 (CVSS skóre: 4.6) – Chyba injektáže SQL při zobrazení QR kódu do fotoaparátu zařízení předáním speciálně vytvořeného požadavku obsahujícího uvozovky, což útočníkovi umožňuje ověřit se jako libovolný uživatel v databázi
CVE-2023-3939 (CVSS skóre: 10.0) – Sada chyb v injektáži příkazů, která umožňuje provádění libovolných příkazů operačního systému s oprávněními root
CVE-2023-3940 (CVSS skóre: 7.5) – Sada libovolných chyb při čtení souborů, které útočníkovi umožňují obejít bezpečnostní kontroly a získat přístup k libovolnému souboru v systému, včetně citlivých uživatelských dat a nastavení systému
CVE-2023-3941 (CVSS skóre: 10.0) – Sada libovolných chyb zápisu do souboru, která umožňuje útočníkovi zapsat do systému libovolný soubor s oprávněními root, včetně změny databáze uživatelů za účelem přidání nepoctivých uživatelů
CVE-2023-3942 (CVSS skóre: 7.5) – Sada chyb injektáže SQL, která útočníkovi umožňuje vložit škodlivý kód SQL a provádět neoprávněné databázové operace a vysávat citlivá data
CVE-2023-3943 (CVSS skóre: 10.0) – Sada chyb přetečení vyrovnávací paměti na základě zásobníku, která útočníkovi umožňuje spustit libovolný kód
„Dopad objevených zranitelností je znepokojivě různorodý,“ řekl bezpečnostní výzkumník Georgij Kiguradze. „Za prvé, útočníci mohou prodávat ukradená biometrická data na dark webu, čímž vystavují postižené jedince zvýšenému riziku deepfake a sofistikovaných útoků sociálního inženýrství.“
Úspěšné využití nedostatků by navíc mohlo umožnit nekalým aktérům získat přístup do jinak zakázaných zón, a dokonce implantovat zadní vrátka k infiltraci kritických sítí za účelem kybernetické špionáže nebo rušivých útoků.
Ruská firma zabývající se kybernetickou bezpečností, která identifikovala nedostatky po reverzním inženýrství firmwaru (verze ZAM170-NF-1.8.25-7354-Ver1.0.0) a proprietárního protokolu používaného ke komunikaci se zařízením, uvedla, že nemá žádný přehled o tom, zda byly tyto problémy opraveny.
Aby se zmírnilo riziko útoků, doporučuje se přesunout využití biometrických čteček do samostatného segmentu sítě, používat robustní hesla správce, vylepšovat nastavení zabezpečení zařízení, minimalizovat používání QR kódů a udržovat systémy aktuální.
„Biometrická zařízení navržená pro zlepšení fyzické bezpečnosti mohou nabídnout pohodlné a užitečné funkce a zároveň přinést nová rizika pro váš IT systém,“ tvrdí Kaspersky.
„Když jsou pokročilé technologie, jako je biometrie, uzavřeny ve špatně zabezpečeném zařízení, téměř to ruší výhody biometrické autentizace. Nedostatečně nakonfigurovaný terminál se tak stává zranitelným vůči jednoduchým útokům, což narušiteli usnadňuje narušení fyzického zabezpečení kritických oblastí organizace.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS