«Лаборатория Касперского» нашла 24 уязвимости в китайских системах биометрического доступа

Недостатки были обнаружены в ходе исследования экспертами Kaspersky Security Assessment программного и аппаратного обеспечения устройств White Label компании ZKTeco. Все результаты были заранее переданы производителю до их публичного раскрытия.

Биометрические считыватели, о которых идет речь, широко используются в самых разных отраслях – от атомных и химических заводов до офисов и больниц. Эти устройства поддерживают распознавание лиц и аутентификацию по QR-коду, а также способны хранить тысячи шаблонов лиц. Однако недавно обнаруженные уязвимости подвергают их различным атакам. «Лаборатория Касперского» сгруппировала уязвимости на основе необходимых исправлений и зарегистрировала их в рамках конкретных CVE (Common Vulnerabilities and Exposures).

Физический обход с помощью поддельного QR-кода

Уязвимость CVE -2023-3938 позволяет киберпреступникам выполнять кибератаку, известную как SQL-инъекция, которая включает вставку вредоносного кода в строки, отправляемые в базу данных терминала. Злоумышленники могут ввести определенные данные в QR-код, используемый для доступа к зонам с ограниченным доступом. Следовательно, они могут получить несанкционированный доступ к терминалу и физически получить доступ к зонам с ограниченным доступом.

Когда терминал обрабатывает запрос, содержащий этот тип вредоносного QR-кода, база данных ошибочно идентифицирует его как исходящий от законного пользователя, авторизовавшегося последним. Если поддельный QR-код содержит чрезмерное количество вредоносных данных, вместо предоставления доступа устройство перезагружается.

« Помимо замены QR-кода, есть еще один интригующий вектор физической атаки. Если кто-то со злым умыслом получит доступ к базе данных устройства, он может использовать другие уязвимости, чтобы загрузить фотографию законного пользователя, распечатать ее и использовать ее для обмана камеры устройства, чтобы получить доступ к защищенной области. Этот метод, конечно, имеет определенные ограничения. Для этого требуется распечатанная фотография, а обнаружение тепла должно быть отключено. Однако оно по-прежнему представляет значительную потенциальную угрозу », — говорит Георгий Кигурадзе, старший специалист по безопасности приложений «Лаборатории Касперского».

Кража биометрических данных, развертывание бэкдора и другие риски

CVE-2023-3940 — это недостатки программного компонента, допускающие произвольное чтение файлов. Использование этих уязвимостей предоставляет потенциальному злоумышленнику доступ к любому файлу в системе и возможность его извлечения. Сюда входят конфиденциальные биометрические данные пользователя и хэши паролей для дальнейшего компрометации корпоративных учетных данных. Аналогичным образом, CVE-2023-3942 предоставляет еще один способ получения конфиденциальной пользовательской и системной информации из баз данных биометрических устройств — посредством атак с использованием SQL-инъекций.

Злоумышленники могут не только получить доступ и украсть, но и удаленно изменить базу данных биометрического считывателя, используя CVE-2023-3941 . Эта группа уязвимостей возникает из-за неправильной проверки ввода пользователя в нескольких компонентах системы. Его использование позволяет злоумышленникам загружать свои собственные данные, например фотографии, тем самым добавляя в базу данных неавторизованных лиц. Это может позволить им незаметно обходить турникеты или двери. Еще одна важная особенность этой уязвимости позволяет злоумышленникам подменять исполняемые файлы, потенциально создавая бэкдор.

Успешная эксплуатация двух других групп новых уязвимостей — CVE-2023-3939 и CVE-2023-3943 — позволяет выполнять произвольные команды или код на устройстве, предоставляя злоумышленнику полный контроль с самым высоким уровнем привилегий. Это позволяет злоумышленнику манипулировать работой устройства, используя его для проведения атак на другие сетевые узлы и распространения атаки на более широкую корпоративную инфраструктуру.