Çinli üretici ZKTeco’nun hibrit biyometrik erişim sisteminin analizi, saldırganların kimlik doğrulamayı aşmak, biyometrik verileri çalmak ve hatta kötü amaçlı arka kapıları dağıtmak için kullanabileceği iki düzine güvenlik açığını ortaya çıkardı.
Kaspersky, “Hain bir aktör, veritabanına rastgele kullanıcı verileri ekleyerek veya sahte bir QR kodu kullanarak doğrulama sürecini kolayca atlayabilir ve yetkisiz erişim elde edebilir.” söz konusu. “Saldırganlar ayrıca biyometrik verileri çalabilir ve sızdırabilir, cihazları uzaktan yönetebilir ve arka kapıları dağıtabilir.”
24 kusur; altı SQL enjeksiyonunu, yedi yığın tabanlı arabellek taşmasını, beş komut enjeksiyonunu, dört rastgele dosya yazma ve iki rastgele dosya okumayı kapsıyor. Her güvenlik açığı türünün kısa bir açıklaması aşağıdadır –
- CVE-2023-3938 (CVSS puanı: 4,6) – Tırnak işareti içeren özel hazırlanmış bir istek ileterek cihazın kamerasına bir QR kodu görüntülerken ve böylece saldırganın veritabanındaki herhangi bir kullanıcı olarak kimlik doğrulaması yapmasına olanak tanıyan bir SQL enjeksiyon hatası
- CVE-2023-3939 (CVSS puanı: 10,0) – Rastgele işletim sistemi komutlarının kök ayrıcalıklarıyla yürütülmesine izin veren bir dizi komut ekleme kusuru
- CVE-2023-3940 (CVSS puanı: 7,5) – Bir saldırganın güvenlik kontrollerini atlamasına ve hassas kullanıcı verileri ve sistem ayarları da dahil olmak üzere sistemdeki herhangi bir dosyaya erişmesine olanak tanıyan bir dizi rastgele dosya okuma kusuru
- CVE-2023-3941 (CVSS puanı: 10,0) – Bir saldırganın, sahte kullanıcılar eklemek için kullanıcı veritabanını değiştirmek de dahil olmak üzere, kök ayrıcalıklarıyla sistemdeki herhangi bir dosyayı yazmasına olanak tanıyan bir dizi rastgele dosya yazma kusuru
- CVE-2023-3942 (CVSS puanı: 7,5) – Bir saldırganın kötü amaçlı SQL kodu yerleştirmesine, yetkisiz veritabanı işlemleri gerçekleştirmesine ve hassas verileri sifonlamasına olanak tanıyan bir dizi SQL enjeksiyon kusuru
- CVE-2023-3943 (CVSS puanı: 10,0) – Bir saldırganın rastgele kod yürütmesine olanak tanıyan bir dizi yığın tabanlı arabellek taşması kusuru
Güvenlik araştırmacısı Georgy Kiguradze, “Keşfedilen güvenlik açıklarının etkisi endişe verici derecede çeşitlidir” dedi. “Öncelikle, saldırganlar çalıntı biyometrik verileri karanlık ağda satabilir, bu da etkilenen bireyleri derin sahte ve karmaşık sosyal mühendislik saldırılarına karşı artan risklere maruz bırakabilir.”
Buna ek olarak, eksikliklerin başarılı bir şekilde kullanılması, hain aktörlerin normalde kısıtlı bölgelere erişmesine ve hatta siber casusluk veya yıkıcı saldırılar için kritik ağlara sızmak üzere arka kapılar yerleştirmesine olanak tanıyabilir.
Aygıt yazılımının (ZAM170-NF-1.8.25-7354-Ver1.0.0 sürümü) ve cihazla iletişim kurmak için kullanılan özel protokolün tersine mühendisliğinin ardından kusurları belirleyen Rus siber güvenlik firması, bu sorunların düzeltilip düzeltilmediği.
Saldırı riskini azaltmak için biyometrik okuyucu kullanımının ayrı bir ağ segmentine taşınması, güçlü yönetici şifrelerinin kullanılması, cihaz güvenlik ayarlarının iyileştirilmesi, QR kodlarının kullanımının en aza indirilmesi ve sistemlerin güncel tutulması önerilir.
Kaspersky, “Fiziksel güvenliği artırmak için tasarlanan biyometrik cihazlar hem kullanışlı, kullanışlı özellikler sunabilir hem de BT sisteminiz için yeni riskler oluşturabilir.” söz konusu.
“Biyometri gibi ileri teknoloji, güvenliği zayıf bir cihaza yerleştirildiğinde, bu durum biyometrik kimlik doğrulamanın faydalarını ortadan kaldırır. Böylece, yetersiz şekilde yapılandırılmış bir terminal, basit saldırılara karşı savunmasız hale gelir ve bir davetsiz misafirin, cihazın fiziksel güvenliğini ihlal etmesi kolaylaşır. örgütün kritik alanları.”
