ZKTeco Biyometrik Sistemi 24 Kritik Güvenlik Kusuruna Karşı Savunmasız Bulundu


14 Haziran 2024Haber odasıCihaz Güvenliği / Kimlik Doğrulaması

ZKTeco Biyometrik Sistem

Çinli üretici ZKTeco’nun hibrit biyometrik erişim sisteminin analizi, saldırganların kimlik doğrulamayı aşmak, biyometrik verileri çalmak ve hatta kötü amaçlı arka kapıları dağıtmak için kullanabileceği iki düzine güvenlik açığını ortaya çıkardı.

Kaspersky, “Hain bir aktör, veritabanına rastgele kullanıcı verileri ekleyerek veya sahte bir QR kodu kullanarak doğrulama sürecini kolayca atlayabilir ve yetkisiz erişim elde edebilir” dedi. “Saldırganlar ayrıca biyometrik verileri çalıp sızdırabilir, cihazları uzaktan yönetebilir ve arka kapıları dağıtabilir.”

24 kusur; altı SQL enjeksiyonunu, yedi yığın tabanlı arabellek taşmasını, beş komut enjeksiyonunu, dört rastgele dosya yazma ve iki rastgele dosya okumayı kapsıyor. Her güvenlik açığı türünün kısa bir açıklaması aşağıdadır –

  • CVE-2023-3938 (CVSS puanı: 4,6) – Tırnak işareti içeren özel hazırlanmış bir istek ileterek cihazın kamerasına bir QR kodu görüntülerken ve böylece saldırganın veritabanındaki herhangi bir kullanıcı olarak kimlik doğrulaması yapmasına olanak tanıyan bir SQL enjeksiyon hatası
  • CVE-2023-3939 (CVSS puanı: 10,0) – Kök ayrıcalıklarıyla rastgele işletim sistemi komutlarının yürütülmesine izin veren bir dizi komut ekleme kusuru
  • CVE-2023-3940 (CVSS puanı: 7,5) – Bir saldırganın güvenlik kontrollerini atlamasına ve hassas kullanıcı verileri ve sistem ayarları da dahil olmak üzere sistemdeki herhangi bir dosyaya erişmesine olanak tanıyan bir dizi rastgele dosya okuma kusuru
  • CVE-2023-3941 (CVSS puanı: 10,0) – Bir saldırganın, sahte kullanıcılar eklemek için kullanıcı veritabanını değiştirmek de dahil olmak üzere, kök ayrıcalıklarıyla sistemdeki herhangi bir dosyayı yazmasına olanak tanıyan bir dizi rastgele dosya yazma kusuru
  • CVE-2023-3942 (CVSS puanı: 7,5) – Bir saldırganın kötü amaçlı SQL kodu yerleştirmesine, yetkisiz veritabanı işlemleri gerçekleştirmesine ve hassas verileri sifonlamasına olanak tanıyan bir dizi SQL enjeksiyon kusuru
  • CVE-2023-3943 (CVSS puanı: 10,0) – Bir saldırganın rastgele kod yürütmesine olanak tanıyan bir dizi yığın tabanlı arabellek taşması kusuru

Güvenlik araştırmacısı Georgy Kiguradze, “Keşfedilen güvenlik açıklarının etkisi endişe verici derecede çeşitlidir” dedi. “Öncelikle, saldırganlar çalıntı biyometrik verileri karanlık ağda satabilir, bu da etkilenen bireyleri derin sahte ve karmaşık sosyal mühendislik saldırılarına karşı artan risklere maruz bırakabilir.”

Siber güvenlik

Buna ek olarak, eksikliklerin başarılı bir şekilde kullanılması, hain aktörlerin normalde kısıtlı bölgelere erişmesine ve hatta siber casusluk veya yıkıcı saldırılar için kritik ağlara sızmak üzere arka kapılar yerleştirmesine olanak tanıyabilir.

Aygıt yazılımının (ZAM170-NF-1.8.25-7354-Ver1.0.0 sürümü) ve cihazla iletişim kurmak için kullanılan özel protokolün tersine mühendisliğinin ardından kusurları belirleyen Rus siber güvenlik firması, bu sorunların düzeltilip düzeltilmediği.

Saldırı riskini azaltmak için biyometrik okuyucu kullanımının ayrı bir ağ segmentine taşınması, güçlü yönetici şifrelerinin kullanılması, cihaz güvenlik ayarlarının iyileştirilmesi, QR kodlarının kullanımının en aza indirilmesi ve sistemlerin güncel tutulması önerilir.

Kaspersky, “Fiziksel güvenliği artırmak için tasarlanan biyometrik cihazlar hem kullanışlı, kullanışlı özellikler sunabilir hem de BT sisteminiz için yeni riskler oluşturabilir.” dedi.

“Biyometri gibi ileri teknoloji, güvenliği zayıf bir cihaza yerleştirildiğinde, bu durum biyometrik kimlik doğrulamanın faydalarını ortadan kaldırır. Böylece, yetersiz şekilde yapılandırılmış bir terminal, basit saldırılara karşı savunmasız hale gelir ve bir davetsiz misafirin, cihazın fiziksel güvenliğini ihlal etmesi kolaylaşır. örgütün kritik alanları.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link