Kaspersky a identificat numeroase defecte in terminalul biometric hibrid produs de producatorul international ZKTeco.

Adaugand date aleatorii ale utilizatorului in baza de date sau folosind un cod QR fals, un atacator cibernetic poate ocoli cu usurinta procesul de verificare si poate obtine acces neautorizat. Atacatorii pot, de asemenea, sa fure si sa dezvaluie date biometrice, sa manipuleze dispozitive de la distanta si sa desfasoare atacuri de tip backdoor. Cladirile sau centrele de productie de inalta securitate din intreaga lume sunt in pericol daca folosesc acest dispozitiv vulnerabil.

Defectele au fost descoperite in cursul cercetarilor effectuate de expertii Kaspersky Security Assessment asupra software-ului si hardware-ului dispozitivelor cu eticheta alba ZKTeco.  Toate constatarile au fost impartasite in mod proactiv producatorului inainte de dezvaluirea publica.

Cititoarele biometrice in cauza sunt utilizate pe scara larga in domenii din diverse sectoare – de la centrale nucleare sau chimice pana la birouri si spitale. Aceste dispozitive accepta recunoasterea fetei si autentificarea cu coduri QR, dar au si capacitatea de a stoca mii de conformatii faciale. Cu toate acestea, vulnerabilitatile nou descoperite ii expun la diferite atacuri. Kaspersky a grupat defectele pe baza patch-urilor necesare si le-a inregistrat in anumite categorii CVE (Common Vulnerabilities and Exposures).

Vulnerabilitatea CVE-2023-3938 permite infractorilor cibernetici sa efectueze un atac cibernetic cunoscut sub numele de injectie SQL, care implica inserarea de cod rau intentionat in siruri de caractere trimise la baza de date a unui terminal.  Atacatorii pot injecta date specifice in codul QR folosit pentru accesarea zonelor restrictionate. In consecinta, acestia pot obtine acces neautorizat la terminal si pot accesa fizic zonele restrictionate.
 
Cand terminalul proceseaza o solicitare care contine acest tip de cod QR rau intentionat, baza de date il identifica in mod eronat ca provenind de la cel mai recent utilizator legitim autorizat. Daca codul QR fals contine o cantitate excesiva de date rau intentionate, in loc sa acorde acces, dispozitivul reporneste.
 
CVE-2023-3940 sunt defecte ale unei componente software care permit citirea arbitrara a fisierelor.  Exploatarea acestor vulnerabilitati ofera unui atacator potential acces la orice fisier din sistem si ii permite sa-l extraga. Acestea includ date biometrice sensibile ale utilizatorului si hash-uri pentru parole pentru a compromite si mai mult acreditarile corporate. In mod similar, CVE-2023-3942 ofera o alta modalitate de a prelua informatii sensibile despre utilizator si sistem din bazele de date ale dispozitivelor de biometrie – prin atacuri de injectie SQL.
 
Infractorii pot nu doar sa acceseze si sa fure, ci si sa modifice de la distanta baza de date a unui cititor biometric prin exploatarea CVE-2023-3941. Acest grup de vulnerabilitati provine din verificarea necorespunzatoare a intrarilor utilizatorului in mai multe componente ale sistemului. Exploatarea acestuia permite atacatorilor sa-si incarce propriile date, cum ar fi fotografii, adaugand astfel persoane neautorizate la baza de date. Acest lucru le poate, ulterior, permite sa treaca prin turnichetele sau usile securizate. O alta caracteristica critica a acestei vulnerabilitati le permite faptuitorilor sa inlocuiasca fisierele executabile, potential creand un atac backdoor.
 
Exploatarea cu succes a altor doua grupuri de noi defecte – CVE-2023-3939 si CVE-2023-3943 – permite executarea de comenzi sau cod arbitrar pe dispozitiv, oferind atacatorului control deplin cu cel mai inalt nivel de privilegii. Acest lucru permite actorului amenintarii sa manipuleze functionarea dispozitivului, valorificandu-l pentru a lansa atacuri asupra altor noduri de retea si pentru a extinde infractiunea intr-o infrastructura corporativa mai larga.

La momentul publicarii informatiilor despre vulnerabilitati, Kaspersky nu are date accesibile despre emiterea patch-urilor.
 
Pentru a contracara atacurile cibernetice asociate, pe langa instalarea patch-ului, Kaspersky recomanda sa urmati urmatorii pasi:

1. Izolati utilizarea cititorului biometric intr-un segment de retea separat. 

2. Folositi parole complexe de administrator, schimbandu-le pe cele implicite. 

3. Verificati si intariti setarile de securitate ale dispozitivului, optimizand valorile implicite slabe. Luati in considerare activarea sau adaugarea detectarii temperaturii pentru a evita autorizarea folosind o fotografie aleatorie. 

4. Minimizati utilizarea functionalitatii codului QR, daca este fezabil. 

5. Actualizati firmware-ul in mod regulat.