Kaspersky araştırmacıları, ZKTeco tarafından geliştirilen ve uluslararası alanda dağıtıldığı bilinen biyometrik terminallerde yaygın güvenlik açıkları keşfetti. Bu kusurlar, tehdit aktörleri tarafından kimlik doğrulamayı atlamak, hassas verileri çalmak ve hatta etkilenen terminaller üzerinde tam kontrol elde etmek için kullanılabilir.
Bu biyometrik terminaller genellikle birden fazla distribütör tarafından çeşitli marka isimleri altında satılmak üzere beyaz etiketli olduğundan güvenlik açıkları büyük bir risk oluşturmaktadır. Binlerce yüz şablonunu saklayarak nükleer enerji santralleri, kimya tesisleri veya hastaneler gibi yüksek güvenlikli/hassas ortamlarda da yaygın olarak kullanılırlar.
ZKTeco Biyometrik Terminallerindeki Güvenlik Açıkları
Biyometrik terminaller, temel amaçları olan parmak izleri, sesler, yüz özellikleri veya irisler gibi biyometrik verileri elde etme dışında birden fazla kullanıma sahiptir. Alternatif kimlik doğrulama yöntemlerini desteklemek için diğer tarayıcılara bağlanabilirler veya çalışanların üretkenliğini sağlamanın veya dolandırıcılığı azaltmanın bir yolu olarak kullanılabilirler.
Bu cihazların enerji santralleri, yönetici odaları veya sunucu odaları gibi gizli tesislerde kullanımı giderek artıyor. ZKTeco biyometrik terminalleri yüz tanımayı (binlerce yüz şablonunu saklama yeteneği ile), şifre girişini, elektronik geçişi ve QR kodlarını destekler.
Araştırmacılar, bu cihazların güvenliğini ve güvenilirliğini değerlendirmek için çeşitli testler gerçekleştirdi ve gizli tesislere yönelik gerçek saldırı senaryolarında tehdit aktörlerinin yararlanabileceği 24 farklı güvenlik açığı buldu:
- 6 SQL enjeksiyon güvenlik açığı
- 7 arabellek yığını taşması güvenlik açığı
- 5 komut ekleme güvenlik açığı
- 4 rastgele dosya yazma güvenlik açığı
- 2 rastgele dosya okuma güvenlik açığı
Araştırmacılar, bu cihazlarda bulunan daha kritik güvenlik açıklarından bazılarını saldırı türlerine göre gruplandırdı:
- Sahte QR Kodları ile Fiziksel Bypass
CVE-2023-3938, siber suçluların erişim dizelerine kötü amaçlı kod enjekte ederek SQL enjeksiyon saldırısı gerçekleştirmesine olanak tanır. Bu onların kısıtlı alanlara izinsiz giriş yapmalarına olanak tanıyabilir. - Biyometrik Veri Hırsızlığı ve Arka Kapı Dağıtımı
CVE-2023-3940 ve CVE-2023-3942 güvenlik açıkları, saldırganların cihazda depolanan hassas kullanıcı verilerine ve şifre karmalarına erişmesine olanak tanıyabilir. Ek olarak, CVE-2023-3941, cihaz veritabanlarını uzaktan değiştirmelerine olanak tanıyarak potansiyel olarak yetkisiz kişileri sistemlere eklemelerine veya bir arka kapı oluşturmalarına olanak tanıyabilir. - Uzaktan Kod Yürütme
CVE-2023-3939 ve CVE-2023-3943 kusurları, cihazda rastgele komutların veya kodların yürütülmesine olanak tanıyarak, saldırganlara etkili bir şekilde tam kontrol ve daha geniş ağ üzerinde daha fazla saldırı başlatma yeteneği veriyor.
Siber güvenlik firmasında Kıdemli Uygulama Güvenliği Uzmanı Georgy Kiguradze, bu güvenlik açıklarının gerçek senaryolarda oluşturduğu riskler, deepfake ve sosyal mühendislik taktiklerinin oluşturduğu riskler ve bu güvenlik açıklarının derhal kapatılmasının aciliyeti konusundaki endişelerini dile getirdi. Belirtti:
“Keşfedilen güvenlik açıklarının etkisi endişe verici derecede çeşitlidir. Başlangıç olarak, saldırganlar çalınan biyometrik verileri karanlık ağda satarak etkilenen bireyleri daha yüksek derin sahte ve karmaşık sosyal mühendislik saldırılarına maruz bırakabilir. Dahası, veri tabanını değiştirme yeteneği, erişim kontrol cihazlarının orijinal amacını silah haline getirerek, potansiyel olarak kötü niyetli aktörlerin kısıtlı alanlara erişim sağlamasına olanak tanır. Son olarak, bazı güvenlik açıkları, diğer kurumsal ağlara gizlice sızmak için bir arka kapının yerleştirilmesine olanak tanıyarak, siber casusluk veya sabotaj da dahil olmak üzere karmaşık saldırıların geliştirilmesini kolaylaştırır. Tüm bu faktörler, bu güvenlik açıklarını gidermenin ve cihazları kurumsal alanlarda kullananlar için cihazın güvenlik ayarlarının kapsamlı bir şekilde denetlenmesinin aciliyetinin altını çiziyor.”
Biyometrik Terminallere Yönelik Risklerin Azaltılması
Araştırmacılar, keşfedilen güvenlik açıklarına ilişkin tüm bilgileri ZKTeco’ya açıkladıklarını ancak bu güvenlik açıklarının yamalanıp yamalanmadığına dair erişilebilir verilere sahip olmadıklarını belirtti.
Araştırmacılar bu arada bu biyometrik terminalleri saldırılardan korumak için şu önerileri paylaştılar:
- Biyometrik okuyucu kullanımını ayrı bir ağ segmentine ayırın.
- Güçlü yönetici şifreleri kullanın ve varsayılan şifreleri değiştirin.
- Sıcaklık algılamanın etkinleştirilmesi de dahil olmak üzere cihazın güvenlik ayarlarını denetleyin ve güçlendirin.
- Mümkünse QR kodu işlevselliğinin kullanımını en aza indirin.
- Cihazın donanım yazılımını düzenli olarak güncelleyin.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.