Kaspersky Lab’deki siber güvenlik araştırmacıları, önde gelen Çinli sağlayıcı ZKTeco tarafından üretilen biyometrik erişim sistemlerinde 24 güvenlik açığını ortaya çıkardı. Yüz tanıma ve giriş kontrolü için kullanılan bu erişim sistemleri, çok çeşitli kötü amaçlı saldırılara karşı hassastır ve hassas verileri ve fiziksel güvenliği riske atar.
Kaspersky Güvenlik Değerlendirme uzmanları, ZKTeco’nun yüz tanımayı ve QR kodu kimlik doğrulamasını destekleyen beyaz etiketli biyometrik okuyucularında çok sayıda güvenlik açığı tespit etti. Bunlar arasında altı SQL enjeksiyon güvenlik açığı, yedi arabellek yığını taşması güvenlik açığı, beş komut ekleme güvenlik açığı, dört rastgele dosya yazma güvenlik açığı ve iki rastgele dosya okuma güvenlik açığı yer alıyor.
En tehlikeli güvenlik açıklarının ayrıntıları
- CVE-2023-3938: Kusurlardan biri olan CVE-2023-3938, siber suçluların QR kodu aracılığıyla bir terminalin veritabanına kötü amaçlı kod eklemesine olanak tanıyarak kısıtlı alanlara yetkisiz erişime olanak tanıyor.
- CVE-2023-3940: CVE-2023-3940, rastgele dosya okumaya izin vererek saldırganların hassas biyometrik kullanıcı verilerine ve şifre karmalarına erişmesine olanak tanıyarak kurumsal kimlik bilgilerini tehlikeye atar.
- CVE-2023-3942: CVE-2023-3942, biyometri cihazlarının veritabanlarından hassas kullanıcı ve sistem bilgilerinin alınmasına yönelik SQL enjeksiyon saldırılarına olanak tanır.
- CVE-2023-3941: CVE-2023-3941, birden fazla sistem bileşeninde hatalı kullanıcı girişi doğrulaması nedeniyle saldırganların biyometrik okuyucunun veritabanına erişmesine, bu veritabanını çalmasına ve uzaktan değiştirmesine olanak tanıyor. Saldırganlar kişisel verileri yükleyebilir, yetkisiz kişileri ekleyebilir, turnikeleri veya kapıları atlayabilir ve yürütülebilir dosyaları değiştirebilir. arka kapı.
- CVE-2023-3939 – CVE-2023-3943: Diğer iki kusur olan CVE-2023-3939 ve CVE-2023-3943, bir cihazda rastgele komutlar veya kodlar yürütmek için kullanılabilir, bu da saldırganlara tam kontrol sağlar ve cihazın çalışmasını manipüle etmelerine, diğer ağ düğümlerine saldırılar başlatmalarına olanak tanır. Suçu daha geniş bir kurumsal altyapıya yaymak.
Etkilenen cihazlardan bazıları arasında ZkTeco ProFace X, Smartec ST-FR043 ve ZAM170-NF-1.8.25-7354-Ver1.0.0’lı Smartec ST-FR041ME dahil olmak üzere ZkTeco tabanlı OEM cihazları yer alıyor. Cihazlar nükleer ve kimya tesisleri, ofisler ve hastaneler dahil olmak üzere çeşitli sektörlerde kullanılmaktadır.
Şirketin basın açıklamasına göre Kaspersky’nin kıdemli uygulama güvenliği uzmanı Georgy Kiguradze, bu güvenlik açıklarının deepfake ve sosyal mühendislik saldırıları potansiyeline ilişkin endişeleri artırdığını belirtiyor.
Ek olarak, veritabanı değişikliği cihazları silah haline getirebilir, kısıtlı alanları açığa çıkarabilir ve hatta arka kapıların gizlice diğer ağlara sızmasına izin vererek siber casusluğu veya sabotajı kolaylaştırabilir. Bu, kurumsal kullanıcılar için yama uygulama ve kapsamlı güvenlik denetimlerine olan ihtiyacın altını çiziyor.
Güvenlik açıkları, kamuya açıklanmadan ve yamalar beklenmeden proaktif olarak üretici ile paylaşıldı. Bir yama mevcut olana kadar kuruluşların savunmasız sistemleri tanımlaması ve izole etmesi, çok faktörlü kimlik doğrulaması uygulaması, düzenli güvenlik denetimleri gerçekleştirmesi, ürün yazılımını güncellemesi ve savunmasız ZKTeco sistemlerini geçici olarak kaldırması gerekiyor.
İLGİLİ KONULAR
- Çin Umumi Tuvaletlere Yüz Tanıma Sistemi Kuruyor
- FBI’ın biyometrik veritabanındaki yazılım Rus kodunu içeriyor
- Müslümanları takip eden Çin yüz tanıma veritabanı açığa çıktı
- Veri Sızıntısı Hindistan Polisinin ve Askeri Biyometrik Verilerin 500 GB’ını Ortaya Çıkardı
- Çin Polisi, Yüz Tanıma Sistemiyle 60 bin kişilik kalabalığın içindeki şüpheliyi tespit etti