Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El sistema biométrico ZKTeco es vulnerable a 24 fallos de seguridad críticos
  • Tecnología

El sistema biométrico ZKTeco es vulnerable a 24 fallos de seguridad críticos

teknomers 14 de Haziran de 2024 (Last updated: 14 de Haziran de 2024) 4 minutes read
El sistema biométrico ZKTeco es vulnerable a 24 fallos de


14 de junio de 2024Sala de redacciónSeguridad/autenticación del dispositivo

Un análisis de un sistema híbrido de acceso biométrico del fabricante chino ZKTeco ha descubierto dos docenas de fallas de seguridad que los atacantes podrían utilizar para anular la autenticación, robar datos biométricos e incluso implementar puertas traseras maliciosas.

“Al agregar datos de usuario aleatorios a la base de datos o usar un código QR falso, un actor nefasto puede fácilmente eludir el proceso de verificación y obtener acceso no autorizado”, Kaspersky dicho. “Los atacantes también pueden robar y filtrar datos biométricos, manipular dispositivos de forma remota y desplegar puertas traseras”.

Las 24 fallas abarcan seis inyecciones de SQL, siete desbordamientos de búfer basados ​​en pilas, cinco inyecciones de comandos, cuatro escrituras de archivos arbitrarios y dos lecturas de archivos arbitrarias. A continuación se incluye una breve descripción de cada tipo de vulnerabilidad:

  • CVE-2023-3938 (Puntuación CVSS: 4,6): una falla de inyección SQL al mostrar un código QR en la cámara del dispositivo al pasar una solicitud especialmente diseñada que contiene una comilla, lo que permite a un atacante autenticarse como cualquier usuario en la base de datos.
  • CVE-2023-3939 (Puntuación CVSS: 10.0) – Un conjunto de fallas de inyección de comandos que permite la ejecución de comandos arbitrarios del sistema operativo con privilegios de root
  • CVE-2023-3940 (Puntuación CVSS: 7,5): un conjunto de fallos de lectura de archivos arbitrarios que permiten a un atacante eludir los controles de seguridad y acceder a cualquier archivo del sistema, incluidos datos confidenciales del usuario y configuraciones del sistema.
  • CVE-2023-3941 (Puntuación CVSS: 10.0): un conjunto de fallas de escritura de archivos arbitrarios que permiten a un atacante escribir cualquier archivo en el sistema con privilegios de root, incluida la alteración de la base de datos de usuarios para agregar usuarios deshonestos.
  • CVE-2023-3942 (Puntuación CVSS: 7,5): un conjunto de fallas de inyección SQL que permite a un atacante inyectar código SQL malicioso y realizar operaciones de bases de datos no autorizadas y desviar datos confidenciales.
  • CVE-2023-3943 (Puntuación CVSS: 10.0): un conjunto de fallas de desbordamiento de búfer basadas en pila que permiten a un atacante ejecutar código arbitrario

“El impacto de las vulnerabilidades descubiertas es alarmantemente diverso”, afirmó el investigador de seguridad Georgy Kiguradze. “Para empezar, los atacantes pueden vender datos biométricos robados en la web oscura, sometiendo a las personas afectadas a mayores riesgos de ataques de ingeniería social sofisticados y deepfake”.

La seguridad cibernética

Además, la explotación exitosa de las deficiencias podría permitir a actores nefastos obtener acceso a zonas que de otro modo estarían restringidas e incluso implantar puertas traseras para infiltrarse en redes críticas para realizar ciberespionaje o ataques disruptivos.

La firma rusa de ciberseguridad, que identificó las fallas luego de realizar ingeniería inversa al firmware (versión ZAM170-NF-1.8.25-7354-Ver1.0.0) y al protocolo propietario utilizado para comunicarse con el dispositivo, dijo que no tiene ninguna visibilidad sobre si estos problemas se han solucionado.

Para mitigar el riesgo de ataques, se recomienda trasladar el uso del lector biométrico a un segmento de red separado, utilizar contraseñas de administrador sólidas, mejorar la configuración de seguridad del dispositivo, minimizar el uso de códigos QR y mantener los sistemas actualizados.

“Los dispositivos biométricos diseñados para mejorar la seguridad física pueden ofrecer funciones prácticas y útiles e introducir nuevos riesgos para su sistema de TI”, Kaspersky dicho.

“Cuando una tecnología avanzada como la biométrica está encerrada en un dispositivo mal protegido, esto prácticamente anula los beneficios de la autenticación biométrica. Por lo tanto, un terminal insuficientemente configurado se vuelve vulnerable a ataques simples, lo que facilita que un intruso viole la seguridad física del áreas críticas de la organización.”

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Amazon libera 230 millones de dólares para apoyar a las empresas emergentes de inteligencia artificial
Next: EM: ¿Qué canal muestra qué juegos?

Related Stories

Pixel 11: Google supera a Apple con un chip de
  • Tecnología

Pixel 11: Google supera a Apple con un chip de 2nm

teknomers 14 de Temmuz de 2026
Robots humanoides realizan una operación quirúrgica con herramientas médicas estándar
  • Tecnología

Robots humanoides realizan una operación quirúrgica con herramientas médicas estándar

teknomers 14 de Temmuz de 2026
iPhone 20: Apple ya estaría preparando las fábricas para su
  • Tecnología

iPhone 20: Apple ya estaría preparando las fábricas para su espectacular diseño todo en vidrio

teknomers 14 de Temmuz de 2026

You May Have Missed

  • Entretenimiento

Francia-España: la familia real española había elegido el código de color incorrecto antes de la semifinal del Mundial

teknomers 14 de Temmuz de 2026
  • General

Truco de cuchara de madera en olla hirviendo: Por qué la gente pone una cuchara de madera sobre una olla hirviendo; la ciencia detrás del truco de cocina.

teknomers 14 de Temmuz de 2026
  • Deporte

Aston Villa advertido sobre el sportswashing tras firmar el patrocinio de Visit Rwanda

teknomers 14 de Temmuz de 2026
  • General

La princesa Mette-Marit de Noruega sale del hospital tras su trasplante de pulmones, su hijo liberado bajo control electrónico.

teknomers 14 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.