Kimlik & Erişim Yönetimi, Güvenlik Operasyonları
Kaspersky, ZKTeco Terminallerindeki 24 Kusuru Ortaya Çıkardı
Prajeet Nair (@prajeetspeaks) •
11 Haziran 2024
Biyometri yoluyla daha iyi güvenlik vaadi, güvenlik araştırmacılarının Çinli bir üretici tarafından üretilen bir erişim sistemini parçalamasından sonra yetersiz kaldı, ancak içeride bulunan 24 güvenlik açığı keşfedildi.
Kaspersky’den araştırmacılar Çinli üretici ZKTeco tarafından üretilen ve kimlik doğrulama yöntemi olarak yüz taramalarının yanı sıra şifreleri, QR kodlarını ve elektronik kartı da kabul eden biyometrik erişim sistemini inceledi. Cihazın distribütörüne bağlı olarak farklı isimleri vardır.
Ayrıca bakınız: Web Semineri | Güvenlik Yığınınızın Seviyesini Yükseltin: EDR ve Uç Nokta Ayrıcalık Yönetimi Karşılaştırması
CVE-2023-3938 olarak takip edilen kritik bir kusur, siber suçluların, muhtemelen kısıtlı olduğu düşünülen alanlara yetkisiz erişim elde etmek amacıyla QR kodu aracılığıyla terminalin veritabanına kötü amaçlı kod enjekte ederek SQL saldırısı gerçekleştirmesine olanak tanıyor. Terminal, kötü amaçlı bir QR kodunu işlediğinde, yanlışlıkla bunun meşru bir kullanıcıdan geldiğini tespit eder. Aşırı miktarda kötü amaçlı veri, cihazın yeniden başlatılmasına neden olur.
Kaspersky’nin kıdemli uygulama güvenliği uzmanı Georgy Kiguradze, “QR kodunu değiştirmenin yanı sıra ilgi çekici bir fiziksel saldırı vektörü daha var” dedi. “Kötü niyetli biri cihazın veritabanına erişim kazanırsa, meşru bir kullanıcının fotoğrafını indirmek, yazdırmak ve güvenli bir alana erişim sağlamak için cihazın kamerasını kandırmak için diğer güvenlik açıklarından yararlanabilir.
Kiguradze, bu yöntemin belirli kısıtlamaları olduğunu, basılı fotoğraf gerektirdiğini ve sıcaklık algılamanın kapatılması gerektiğini söyledi. Halen önemli bir potansiyel tehdit oluşturduğunu söyledi.
Ortaya çıkarılan birçok güvenlik açığı, veritabanı sarmalayıcı kitaplığındaki bir hatadan kaynaklanmaktadır. Araştırmacılar bunları türlerine ve nedenlerine göre “çoklu güvenlik açıkları” olarak gruplandırdı ve bu da daha az sayıda CVE’ye yol açtı.
- 6 SQL enjeksiyon güvenlik açığı
- 7 arabellek yığını taşması güvenlik açığı
- 5 komut ekleme güvenlik açığı
- 4 rastgele dosya yazma güvenlik açığı
- 2 rastgele dosya okuma güvenlik açığı
Bir diğer ciddi güvenlik açığı ise saldırganların biyometrik okuyucunun veritabanını uzaktan değiştirmesine olanak tanıyan CVE-2023-3941’dir. Birden fazla sistem bileşeninde kullanıcı girişinin hatalı şekilde doğrulanması, saldırganların fotoğraf gibi verilerini yüklemesine ve yetkisiz kişileri veritabanına eklemesine olanak tanır. Bu kusur aynı zamanda yürütülebilir dosyaların değiştirilmesine de izin vererek potansiyel bir arka kapı oluşturur.
CVE-2023-3940 olarak takip edilen bir güvenlik açığı, bir yazılım bileşeninde, rastgele dosya okumaya izin veren ve saldırganların hassas biyometrik verilere ve şifre karmalarına erişmesine izin veren kusurlar içeriyor.
Benzer şekilde, CVE-2023-3942, saldırganların SQL enjeksiyonu yoluyla cihazların veritabanlarından hassas bilgileri almasına olanak tanıyor.
CVE-2023-3939 ve CVE-2023-3943 tarafından kolaylaştırılan, cihazda rastgele komutlar veya kod yürütme yeteneği, saldırganlara en yüksek düzeyde ayrıcalıklarla tam kontrol sağlar. Bu kontrol, cihazın çalışmasını manipüle etmelerine, diğer ağ düğümlerine saldırılar başlatmalarına ve saldırıyı daha geniş bir kurumsal altyapıya yaymalarına olanak tanır.
Kiguradze, “Keşfedilen güvenlik açıklarının etkisi endişe verici derecede çeşitlidir” dedi. “Öncelikle, saldırganlar çalınan biyometrik verileri karanlık ağda satabilir, bu da etkilenen bireyleri artan derin sahte ve karmaşık sosyal mühendislik saldırıları riskine maruz bırakabilir. Ayrıca, veritabanını değiştirme yeteneği, erişim kontrol cihazlarının orijinal amacını silah haline getirerek potansiyel olarak hain aktörler için kısıtlı alanlara erişim.”
Kiguradze, bazı güvenlik açıklarının, diğer kurumsal ağlara gizlice sızmak için bir arka kapı yerleştirilmesine olanak sağladığını, siber casusluk veya sabotaj da dahil olmak üzere karmaşık saldırıların geliştirilmesini kolaylaştırdığını söyledi.
Kaspersky, bu riskleri azaltmak için biyometrik okuyucu kullanımının ayrı bir ağ segmentinde izole edilmesini, güçlü yönetici şifrelerinin kullanılmasını, cihaz güvenlik ayarlarının denetlenmesini ve desteklenmesini, QR kodu işlevselliğinin en aza indirilmesini ve ürün yazılımının güncellenmesini öneriyor.