Kaspersky descoperă mai multe vulnerabilităţi în sistemele de acces biometrice din China

Kaspersky a identificat numeroase defecte în terminalul biometric hibrid produs de producătorul internaţional ZKTeco. Adăugând date aleatorii ale utilizatorului în baza de date sau folosind un cod QR fals, un atacator cibernetic poate ocoli cu uşurinţă procesul de verificare şi poate obţine acces neautorizat, conform unui comunicat de presă remis Redacţiei.

Atacatorii pot, de asemenea, să fure şi să dezvăluie date biometrice, să manipuleze dispozitive de la distanţă şi să desfăşoare atacuri de tip backdoor. Clădirile sau centrele de producţie de înaltă securitate din întreaga lume sunt în pericol dacă folosesc acest dispozitiv vulnerabil.

Defectele au fost descoperite în cursul cercetărilor effectuate de experţii Kaspersky Security Assessment asupra software-ului şi hardware-ului dispozitivelor cu etichetă albă ZKTeco. Toate constatările au fost împărtăşite în mod proactiv producătorului înainte de dezvăluirea publică.

Cititoarele biometrice în cauză sunt utilizate pe scară largă în domenii din diverse sectoare - de la centrale nucleare sau chimice până la birouri şi spitale. Aceste dispozitive acceptă recunoaşterea feţei şi autentificarea cu coduri QR, dar au şi capacitatea de a stoca mii de conformaţii faciale. Cu toate acestea, vulnerabilităţile nou descoperite îi expun la diferite atacuri. Kaspersky a grupat defectele pe baza patch-urilor necesare şi le-a înregistrat în anumite categorii CVE (Common Vulnerabilities and Exposures).

Vulnerabilitatea CVE-2023-3938 permite infractorilor cibernetici să efectueze un atac cibernetic cunoscut sub numele de injecţie SQL, care implică inserarea de cod rău intenţionat în şiruri de caractere trimise la baza de date a unui terminal. Atacatorii pot injecta date specifice în codul QR folosit pentru accesarea zonelor restricţionate. În consecinţă, aceştia pot obţine acces neautorizat la terminal şi pot accesa fizic zonele restricţionate.

Când terminalul procesează o solicitare care conţine acest tip de cod QR rău intenţionat, baza de date îl identifică în mod eronat ca provenind de la cel mai recent utilizator legitim autorizat. Dacă codul QR fals conţine o cantitate excesivă de date rău intenţionate, în loc să acorde acces, dispozitivul reporneşte.

CVE-2023-3940 sunt defecte ale unei componente software care permit citirea arbitrară a fişierelor. Exploatarea acestor vulnerabilităţi oferă unui atacator potenţial acces la orice fişier din sistem şi îi permite să-l extragă. Acestea includ date biometrice sensibile ale utilizatorului şi hash-uri pentru parole pentru a compromite şi mai mult acreditările corporate. În mod similar, CVE-2023-3942 oferă o altă modalitate de a prelua informaţii sensibile despre utilizator şi sistem din bazele de date ale dispozitivelor de biometrie - prin atacuri de injecţie SQL.

Infractorii pot nu doar să acceseze şi să fure, ci şi să modifice de la distanţă baza de date a unui cititor biometric prin exploatarea CVE-2023-3941. Acest grup de vulnerabilităţi provine din verificarea necorespunzătoare a intrărilor utilizatorului în mai multe componente ale sistemului. Exploatarea acestuia permite atacatorilor să-şi încarce propriile date, cum ar fi fotografii, adăugând astfel persoane neautorizate la baza de date. Acest lucru le poate, ulterior, permite să treacă prin turnichetele sau uşile securizate. O altă caracteristică critică a acestei vulnerabilităţi le permite făptuitorilor să înlocuiască fişierele executabile, potenţial creând un atac backdoor.

Exploatarea cu succes a altor două grupuri de noi defecte - CVE-2023-3939 şi CVE-2023-3943 - permite executarea de comenzi sau cod arbitrar pe dispozitiv, oferind atacatorului control deplin cu cel mai înalt nivel de privilegii. Acest lucru permite actorului ameninţării să manipuleze funcţionarea dispozitivului, valorificându-l pentru a lansa atacuri asupra altor noduri de reţea şi pentru a extinde infracţiunea într-o infrastructură corporativă mai largă.

La momentul publicării informaţiilor despre vulnerabilităţi, Kaspersky nu are date accesibile despre emiterea patch-urilor.

Pentru a contracara atacurile cibernetice asociate, pe lângă instalarea patch-ului, Kaspersky recomandă să urmaţi următorii paşi:

- Izolaţi utilizarea cititorului biometric într-un segment de reţea separat.

- Folosiţi parole complexe de administrator, schimbându-le pe cele implicite.

- Verificaţi şi întăriţi setările de securitate ale dispozitivului, optimizând valorile implicite slabe. Luaţi în considerare activarea sau adăugarea detectării temperaturii pentru a evita autorizarea folosind o fotografie aleatorie.

- Minimizaţi utilizarea funcţionalităţii codului QR, dacă este fezabil.

- Actualizaţi firmware-ul în mod regulat.