Een analyse van een hybride biometrisch toegangssysteem van de Chinese fabrikant ZKTeco heeft twintig beveiligingsfouten blootgelegd die door aanvallers kunnen worden gebruikt om authenticatie te omzeilen, biometrische gegevens te stelen en zelfs kwaadaardige achterdeurtjes in te zetten.
“Door willekeurige gebruikersgegevens aan de database toe te voegen of een valse QR-code te gebruiken, kan een snode actor het verificatieproces gemakkelijk omzeilen en ongeautoriseerde toegang verkrijgen”, aldus Kaspersky. “Aanvallers kunnen ook biometrische gegevens stelen en lekken, apparaten op afstand manipuleren en achterdeurtjes inzetten.”
De 24 fouten omvatten zes SQL-injecties, zeven stack-gebaseerde bufferoverflows, vijf commando-injecties, vier willekeurige bestandsschrijfbewerkingen en twee willekeurige bestandslezingen. Hieronder vindt u een korte beschrijving van elk type kwetsbaarheid:
- CVE-2023-3938 (CVSS-score: 4,6) – Een SQL-injectiefout bij het weergeven van een QR-code in de camera van het apparaat door een speciaal vervaardigd verzoek met een aanhalingsteken door te geven, waardoor een aanvaller zich kan authenticeren als elke gebruiker in de database
- CVE-2023-3939 (CVSS-score: 10,0) – Een reeks tekortkomingen in de opdrachtinjectie die de uitvoering van willekeurige OS-opdrachten met rootrechten mogelijk maken
- CVE-2023-3940 (CVSS-score: 7,5) – Een reeks willekeurige fouten bij het lezen van bestanden waardoor een aanvaller beveiligingscontroles kan omzeilen en toegang kan krijgen tot elk bestand op het systeem, inclusief gevoelige gebruikersgegevens en systeeminstellingen
- CVE-2023-3941 (CVSS-score: 10,0) – Een reeks willekeurige fouten bij het schrijven van bestanden waardoor een aanvaller elk bestand op het systeem met rootrechten kan schrijven, inclusief het wijzigen van de gebruikersdatabase om malafide gebruikers toe te voegen
- CVE-2023-3942 (CVSS-score: 7,5) – Een reeks SQL-injectiefouten waarmee een aanvaller kwaadaardige SQL-code kan injecteren en ongeautoriseerde databasebewerkingen kan uitvoeren en gevoelige gegevens kan overhevelen
- CVE-2023-3943 (CVSS-score: 10,0) – Een reeks op stack gebaseerde bufferoverflow-fouten waarmee een aanvaller willekeurige code kan uitvoeren
“De impact van de ontdekte kwetsbaarheden is alarmerend divers”, zegt beveiligingsonderzoeker Georgy Kiguradze. “Om te beginnen kunnen aanvallers gestolen biometrische gegevens op het dark web verkopen, waardoor getroffen personen worden blootgesteld aan verhoogde risico’s van deepfake en geavanceerde social engineering-aanvallen.”
Bovendien zou succesvolle exploitatie van de tekortkomingen snode actoren in staat kunnen stellen toegang te krijgen tot anderszins beperkte zones en zelfs achterdeurtjes te kunnen implanteren om kritieke netwerken te infiltreren voor cyberspionage of ontwrichtende aanvallen.
Het Russische cyberbeveiligingsbedrijf, dat de gebreken heeft geïdentificeerd na reverse engineering van de firmware (versie ZAM170-NF-1.8.25-7354-Ver1.0.0) en het eigen protocol dat wordt gebruikt om met het apparaat te communiceren, zei dat het geen enkel inzicht heeft in of deze problemen zijn verholpen.
Om het risico op aanvallen te beperken, wordt aanbevolen om het gebruik van biometrische lezers naar een apart netwerksegment te verplaatsen, robuuste beheerderswachtwoorden te gebruiken, de beveiligingsinstellingen van apparaten te verbeteren, het gebruik van QR-codes te minimaliseren en systemen up-to-date te houden.
“Biometrische apparaten die zijn ontworpen om de fysieke beveiliging te verbeteren, kunnen zowel handige, nuttige functies bieden als nieuwe risico's voor uw IT-systeem introduceren”, aldus Kaspersky.
“Wanneer geavanceerde technologie zoals biometrie wordt ingesloten in een slecht beveiligd apparaat, worden de voordelen van biometrische authenticatie vrijwel teniet gedaan. Een onvoldoende geconfigureerde terminal wordt dus kwetsbaar voor eenvoudige aanvallen, waardoor het voor een indringer gemakkelijk wordt om de fysieke veiligheid van het apparaat te schenden. kritieke gebieden van de organisatie.”
