Une analyse d’un système d’accès biométrique hybride du fabricant chinois ZKTeco a révélé deux douzaines de failles de sécurité qui pourraient être utilisées par des attaquants pour contourner l’authentification, voler des données biométriques et même déployer des portes dérobées malveillantes.
« En ajoutant des données utilisateur aléatoires à la base de données ou en utilisant un faux code QR, un acteur malveillant peut facilement contourner le processus de vérification et obtenir un accès non autorisé », Kaspersky dit. « Les attaquants peuvent également voler et divulguer des données biométriques, manipuler des appareils à distance et déployer des portes dérobées. »
Les 24 failles couvrent six injections SQL, sept dépassements de tampon basés sur la pile, cinq injections de commandes, quatre écritures de fichiers arbitraires et deux lectures de fichiers arbitraires. Une brève description de chaque type de vulnérabilité est ci-dessous –
- CVE-2023-3938 (score CVSS : 4,6) – Une faille d’injection SQL lors de l’affichage d’un code QR dans la caméra de l’appareil en transmettant une requête spécialement conçue contenant un guillemet, permettant ainsi à un attaquant de s’authentifier en tant qu’utilisateur de la base de données.
- CVE-2023-3939 (score CVSS : 10,0) – Un ensemble de failles d’injection de commandes qui permettent l’exécution de commandes arbitraires du système d’exploitation avec les privilèges root
- CVE-2023-3940 (score CVSS : 7,5) – Un ensemble de failles de lecture de fichiers arbitraires qui permettent à un attaquant de contourner les contrôles de sécurité et d’accéder à n’importe quel fichier du système, y compris les données utilisateur sensibles et les paramètres système.
- CVE-2023-3941 (score CVSS : 10,0) – Un ensemble de failles d’écriture de fichiers arbitraires qui permettent à un attaquant d’écrire n’importe quel fichier sur le système avec les privilèges root, y compris la modification de la base de données des utilisateurs pour ajouter des utilisateurs malveillants.
- CVE-2023-3942 (score CVSS : 7,5) – Un ensemble de failles d’injection SQL qui permettent à un attaquant d’injecter du code SQL malveillant, d’effectuer des opérations de base de données non autorisées et de siphonner des données sensibles.
- CVE-2023-3943 (score CVSS : 10,0) – Un ensemble de failles de dépassement de tampon basées sur la pile qui permettent à un attaquant d’exécuter du code arbitraire.
« L’impact des vulnérabilités découvertes est d’une diversité alarmante », a déclaré le chercheur en sécurité Georgy Kiguradze. « Pour commencer, les attaquants peuvent vendre des données biométriques volées sur le dark web, exposant ainsi les personnes concernées à des risques accrus d’attaques d’ingénierie sociale sophistiquées et de contrefaçon. »
En outre, l’exploitation réussie de ces lacunes pourrait permettre à des acteurs malveillants d’accéder à des zones autrement restreintes et même d’implanter des portes dérobées pour infiltrer des réseaux critiques à des fins de cyberespionnage ou d’attaques perturbatrices.
La société russe de cybersécurité, qui a identifié les failles suite à l’ingénierie inverse du firmware (version ZAM170-NF-1.8.25-7354-Ver1.0.0) et du protocole propriétaire utilisé pour communiquer avec l’appareil, a déclaré n’avoir aucune visibilité sur si ces problèmes ont été corrigés.
Pour atténuer le risque d’attaques, il est recommandé de déplacer l’utilisation du lecteur biométrique dans un segment de réseau distinct, d’utiliser des mots de passe d’administrateur robustes, d’améliorer les paramètres de sécurité des appareils, de minimiser l’utilisation des codes QR et de maintenir les systèmes à jour.
« Les dispositifs biométriques conçus pour améliorer la sécurité physique peuvent à la fois offrir des fonctionnalités pratiques et utiles et introduire de nouveaux risques pour votre système informatique », Kaspersky dit.
« Lorsqu’une technologie avancée comme la biométrie est enfermée dans un appareil mal sécurisé, cela annule pratiquement les avantages de l’authentification biométrique. Ainsi, un terminal insuffisamment configuré devient vulnérable à de simples attaques, ce qui permet à un intrus de violer facilement la sécurité physique de l’appareil. les domaines critiques de l’organisation.