卡巴斯基說,生物識別訪問控制終端中有一系列網絡安全漏洞Zkteco這可能會使惡意參與者繞過驗證,以獲得未經授權的訪問,竊取生物識別數據,甚至將後門部署到用戶網絡。
根據卡巴斯基(Kaspersky's)公告。它可以通過面部生物識別技術或QR碼通過身份驗證來訪問控制。卡巴斯基說,它們用於許多環境,包括核電站等高安全設施,並且可以存儲數千個面部模板。
Zkteco是世界上最大的生物識別訪問控制硬件供應商之一,子公司一些 國家和與盔甲。
卡巴斯基(Kaspersky)將五組漏洞總共註冊為常見漏洞和暴露(CVE)。CVE-2023-3938至CVE-2023-3943可以使罪犯通過多種方式擊敗或濫用Zkteco生物識別訪問控制系統。
首先允許SQL注入攻擊,這又可以用來模仿最新合法的用戶,重新啟動設備或與其他漏洞結合使用,下載註冊用戶的照片並重複使用它們進行演示攻擊。 Zkteco的終端包括保暖檢測是針對演示攻擊的防禦,但卡巴斯基分析師說,這仍然是具有巨大潛力的威脅。
另一個漏洞允許攻擊者讀取或提取系統中的任何文件,包括生物識別數據和密碼哈希。三分之一允許通過SQL注射檢索有關用戶和系統的敏感信息。
生物識別數據庫可以通過另一個漏洞來改變,從而使攻擊者可以作為合法用戶姿勢,或者只是將未經授權的個人添加到數據庫中。卡巴斯基說,兩個最終的漏洞使攻擊者能夠執行命令並控制該設備。從那裡開始,可以在其他網絡節點上啟動攻擊。
卡巴斯基高級應用程序安全專家Georgy Kiguradze評論說:“更改數據庫的能力使訪問控制設備的最初目的具有武器,從而有可能授予邪惡演員限制區域的訪問權限。” “最後,某些漏洞使後門能夠隱秘地滲透其他企業網絡,從而促進了複雜攻擊的發展,包括網絡增長或破壞性。
Kaspersky建議在自己的網絡細分市場中隔離生物識別設備,更改默認密碼並進行更強大的密碼,審核安全設置,例如Hymth Livices檢測能力,最大程度地減少QR碼的使用並定期更新固件。
生物識別更新與Zkteco聯繫以進行評論,並在我們聽到回來時會更新此故事。
