Skip to main content
Hermes Banner 1
DIGITAL TV 190
ilka aggelia
securityreport e mag odhgos 2021
13 Ιουνίου 2024 09:30

Kaspersky: 24 ευπάθειες σε κινεζικά βιομετρικά συστήματα πρόσβασης

kaspersky 8e43fd0c

Η Kaspersky έχει εντοπίσει πολλά ελαττώματα στο υβριδικό βιομετρικό τερματικό που παράγεται από τον διεθνή κατασκευαστή ZKTeco. Προσθέτοντας τυχαία δεδομένα χρήστη στη βάση δεδομένων ή χρησιμοποιώντας έναν ψεύτικο κωδικό QR, ένας κακόβουλος φορέας μπορεί εύκολα να παρακάμψει τη διαδικασία επαλήθευσης και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση. Οι επιτιθέμενοι μπορούν επίσης να κλέψουν και να διαρρεύσουν βιομετρικά δεδομένα, να χειριστούν συσκευές εξ αποστάσεως και να αναπτύξουν κερκόπορτες. Οι εγκαταστάσεις υψηλής ασφάλειας παγκοσμίως κινδυνεύουν εάν χρησιμοποιούν αυτήν την ευάλωτη συσκευή.

Τα ελαττώματα ανακαλύφθηκαν κατά τη διάρκεια της έρευνας των ειδικών του Kaspersky Security Assessment σχετικά με το λογισμικό και το hardware των white-label συσκευών της ZKTeco. Όλα τα ευρήματα κοινοποιήθηκαν προληπτικά στον κατασκευαστή πριν από τη δημόσια αποκάλυψη.

Οι εν λόγω βιομετρικοί αναγνώστες χρησιμοποιούνται ευρέως σε διάφορους τομείς – από πυρηνικά ή χημικά εργοστάσια έως γραφεία και νοσοκομεία. Αυτές οι συσκευές υποστηρίζουν αναγνώριση προσώπου και έλεγχο ταυτότητας κωδικού QR, μαζί με τη δυνατότητα αποθήκευσης χιλιάδων προτύπων προσώπου. Ωστόσο, τα τρωτά σημεία που ανακαλύφθηκαν πρόσφατα τα εκθέτουν σε διάφορες επιθέσεις. Η Kaspersky ομαδοποίησε τα ελαττώματα με βάση τις απαιτούμενες ενημερώσεις κώδικα και τα καταχώρησε σε συγκεκριμένα CVE (Common Vulnerabilities and Exposures).

Φυσική παράκαμψη μέσω ψεύτικου κωδικού QR

Η ευπάθεια CVE-2023-3938 επιτρέπει στους εγκληματίες του κυβερνοχώρου να εκτελούν μια κυβερνοεπίθεση γνωστή ως έγχυση SQL, η οποία περιλαμβάνει την εισαγωγή κακόβουλου κώδικα σε συμβολοσειρές που αποστέλλονται στη βάση δεδομένων ενός τερματικού. Οι επιτιθέμενοι μπορούν να εισάγουν συγκεκριμένα δεδομένα στον κωδικό QR που χρησιμοποιείται για την πρόσβαση σε ζώνες περιορισμένης πρόσβασης. Κατά συνέπεια, μπορούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στον τερματικό σταθμό και φυσική πρόσβαση στις ζώνες περιορισμένης πρόσβασης.

Όταν ο τερματικός επεξεργάζεται ένα αίτημα που περιέχει αυτόν τον τύπο κακόβουλου κωδικού QR, η βάση δεδομένων αναγνωρίζει εσφαλμένα ότι προέρχεται από τον πιο πρόσφατα εξουσιοδοτημένο νόμιμο χρήστη. Εάν ο ψεύτικος κωδικός QR περιέχει υπερβολικό όγκο κακόβουλων δεδομένων, αντί να παραχωρήσει πρόσβαση, γίνεται επανεκκίνηση της συσκευής.

«Εκτός από την αντικατάσταση του κωδικού QR, υπάρχει ένας άλλος φορέας φυσικής επίθεσης. Εάν κάποιος με κακόβουλη πρόθεση αποκτήσει πρόσβαση στη βάση δεδομένων της συσκευής, μπορεί να εκμεταλλευτεί άλλες ευπάθειες για να κατεβάσει τη φωτογραφία ενός νόμιμου χρήστη, να την εκτυπώσει και να τη χρησιμοποιήσει για να εξαπατήσει την κάμερα της συσκευής για να αποκτήσει πρόσβαση σε μια ασφαλισμένη περιοχή. Αυτή η μέθοδος, φυσικά, έχει ορισμένους περιορισμούς. Απαιτεί εκτυπωμένη φωτογραφία και η ανίχνευση θερμότητας πρέπει να είναι απενεργοποιημένη. Ωστόσο, εξακολουθεί να αποτελεί σημαντική δυνητική απειλή», δήλωσε ο Georgy Kiguradze, Senior Application Security Specialist της Kaspersky.

Κλοπή βιομετρικών δεδομένων, ανάπτυξη κερκόπορτας και άλλοι κίνδυνοι

Τα CVE-2023-3940 είναι ελαττώματα σε ένα στοιχείο λογισμικού που επιτρέπουν την αυθαίρετη ανάγνωση αρχείων. Η εκμετάλλευση αυτών των ευπαθειών παρέχει σε έναν πιθανό εισβολέα πρόσβαση σε οποιοδήποτε αρχείο του συστήματος και του επιτρέπει να το εξαγάγει. Αυτό περιλαμβάνει ευαίσθητα βιομετρικά δεδομένα χρήστη και κατακερματισμούς κωδικών πρόσβασης για περαιτέρω παραβίαση των εταιρικών διαπιστευτηρίων. Ομοίως, το CVE-2023-3942 παρέχει έναν άλλο τρόπο ανάκτησης ευαίσθητων πληροφοριών χρήστη και συστήματος από τις βάσεις δεδομένων των συσκευών βιομετρίας – μέσω επιθέσεων έγχυσης SQL.

Οι φορείς απειλής μπορούν όχι μόνο να έχουν πρόσβαση και να κλέβουν, αλλά και να τροποποιούν εξ αποστάσεως τη βάση δεδομένων ενός βιομετρικού αναγνώστη εκμεταλλευόμενοι το CVE-2023-3941. Αυτή η ομάδα ευπαθειών προέρχεται από ακατάλληλη επαλήθευση της εισόδου χρήστη σε πολλά στοιχεία του συστήματος. Η εκμετάλλευσή του επιτρέπει στους επιτιθέμενους να ανεβάζουν τα δικά τους δεδομένα, όπως φωτογραφίες, προσθέτοντας έτσι μη εξουσιοδοτημένα άτομα στη βάση δεδομένων. Αυτό θα μπορούσε να τους επιτρέψει να παρακάμψουν κρυφά τουρνικέ ή πόρτες. Ένα άλλο κρίσιμο χαρακτηριστικό αυτής της ευπάθειας επιτρέπει στους δράστες να αντικαταστήσουν εκτελέσιμα αρχεία, δημιουργώντας ενδεχομένως μια κερκόπορτα.

Η επιτυχής εκμετάλλευση δύο άλλων ομάδων νέων ελαττωμάτων – CVE-2023-3939 και CVE-2023-3943 – επιτρέπει την εκτέλεση αυθαίρετων εντολών ή κώδικα στη συσκευή, παρέχοντας στον εισβολέα πλήρη έλεγχο με το υψηλότερο επίπεδο προνομίων. Αυτό επιτρέπει στον φορέα απειλής να χειραγωγήσει τη λειτουργία της συσκευής, αξιοποιώντας την για να ξεκινήσει επιθέσεις σε άλλους κόμβους δικτύου και να επεκτείνει το αδίκημα σε μια ευρύτερη εταιρική υποδομή.

«Ο αντίκτυπος των τρωτών σημείων που ανακαλύφθηκαν είναι ανησυχητικά ευρύς. Αρχικά, οι επιτιθέμενοι μπορούν να πουλήσουν κλεμμένα βιομετρικά δεδομένα στο dark web, υποβάλλοντας τα επηρεαζόμενα άτομα σε αυξημένους κινδύνους deepfake και εξελιγμένων επιθέσεων κοινωνικής μηχανικής. Επιπλέον, η δυνατότητα τροποποίησης της βάσης δεδομένων οπλοποιεί τον αρχικό σκοπό των συσκευών ελέγχου πρόσβασης, ενδεχομένως παρέχοντας πρόσβαση σε κακόβουλους φορείς σε περιοχές περιορισμένης πρόσβασης. Τέλος, ορισμένα τρωτά σημεία επιτρέπουν την τοποθέτηση μιας κερκόπορτας για να διεισδύσει κρυφά σε άλλα επιχειρηματικά δίκτυα, διευκολύνοντας την ανάπτυξη εξελιγμένων επιθέσεων, συμπεριλαμβανομένης της κυβερνοκατασκοπείας ή του σαμποτάζ. Όλοι αυτοί οι παράγοντες υπογραμμίζουν τον επείγοντα χαρακτήρα της επιδιόρθωσης αυτών των τρωτών σημείων και του διεξοδικού ελέγχου των ρυθμίσεων ασφαλείας της συσκευής για όσους χρησιμοποιούν τις συσκευές σε εταιρικούς τομείς», εξηγεί ο Georgy Kiguradze.

Κατά τη στιγμή της δημοσίευσης των πληροφοριών ευπάθειας, η Kaspersky δεν διαθέτει προσβάσιμα δεδομένα σχετικά με το αν έχουν εκδοθεί οι ενημερώσεις κώδικα.

Για να αποτρέψετε σχετικές ψηφιακές επιθέσεις, εκτός από την εγκατάσταση της ενημερωμένης έκδοσης κώδικα, η Kaspersky συμβουλεύει να ακολουθήσετε τα επόμενα βήματα:

  • Απομονώστε τη χρήση βιομετρικών αναγνωστών σε ξεχωριστό τμήμα δικτύου.
  • Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης διαχειριστή, αλλάζοντας τους προεπιλεγμένους κωδικούς.
  • Ελέγξτε και ενισχύστε τις ρυθμίσεις ασφαλείας της συσκευής, ενισχύοντας τις αδύναμες προεπιλογές. Εξετάστε το ενδεχόμενο να ενεργοποιήσετε ή να προσθέσετε ανίχνευση θερμότητας για να αποφύγετε την εξουσιοδότηση χρησιμοποιώντας μια τυχαία φωτογραφία.
  • Ελαχιστοποιήστε τη χρήση της λειτουργικότητας QR-code, εάν είναι εφικτό.
  • Ενημερώνετε τακτικά το υλικολογισμικό.

Για περισσότερες πληροφορίες επισκεφτείτε το Securelist.com

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Ιούλιος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Ιουλίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχοςθα βρείτε ενδιαφέροντα θέματα και δοκιμές πο...
Έλεγχος πρόσβασης με Akuvox
Η PartnerNET με περισσότερα από 25 χρόνια εμπειρίας στον ICT κλάδο, είναι ο επίσημος διανομέας της Akuvox Company και παρουσιάζει τις έξυπνες λύσεις πρόσβασης και ενδοεπικοινωνίας σε σπίτια, κτίρι...
Η αποθήκευση δεδομένων παρακολούθησης «γίνεται» έξυπνη!
Η τεχνητή νοημοσύνη φέρνει επανάσταση στον τρόπο αποθήκευσης και διαχείρισης των όλο αυξανόμενων δεδομένων παρακολούθησης. Οι μέρες της απλής εγγραφής και αναθεώρησης των πλάνων βίντεο που παράγου...
Κάμερες αντιεκρηκτικού τύπου
Πυρηνικά και πετροχημικά εργοστάσια, τηλεπικοινωνιακοί σταθμοί και αποθήκες εκρηκτικών είναι μόνο μερικοί από τους βιομηχανικούς χώρους και τις κρίσιμες υποδομές που ενέχουν πολλές προκλήσεις, ακό...
Red Dot για την Ajax Systems
Για πρώτη φορά στην ιστορία της, η Ajax Systems κατακτά τα πρώτα βραβεία Red Dot σε Ασφάλεια και Οικιακό Αυτοματισμό! Φέτος, τα προϊόντα συναγερμού και έξυπνου αυτοματισμού της εταιρείας έλαβαν...
Οι μεγαλύτερες τάσεις CCTV για το 2024
Στον κόσμο της βιντεοεπιτήρησης παρατηρείται ραγδαία εξέλιξη την τελευταία δεκαετία, με τις καινοτομίες στην τεχνολογία να έχουν διαδραματίσει σπουδαίο ρόλο στην εν λόγω ανάπτυξη. Ταυτόχρονα, ο το...
Μέτρα προστασίας για τα Data Centers
Τα κέντρα δεδομένων ή αλλιώς Data Centers, όπου φιλοξενείται εξοπλισμός υψηλής αξίας, όπως υπολογιστές, servers, αποθηκευτικά μέσα και άλλες δικτυακές συσκευές, πλέον θεωρούνται κινητήριος μοχλός ...
Hikvision 2-wire HD Apartment
Η λύση 2-wire HD Apartment αποτελεί μια εξαιρετική επιλογή για όσους αναζητούν ένα υψηλής ποιότητας και αξιόπιστο σύστημα θυροτηλεφώνου για αντικατάσταση ενός παλαιού συστήματος με χρήση των υπαρχ...
Πρωτοποριακή υπεροχή στα συστήματα επικοινωνίας Rakson A.E.
Έχοντας ιδρυθεί πριν από 70 χρόνια, η Golmar είναι πρωτοπόρα στην παγκόσμια αγορά, αφήνοντας ένα ανεξίτηλο σημάδι στο τοπίο των συστημάτων ενδοεπικοινωνίας. O αποκλειστικός συνεργάτης στην Ελλάδα ...
TP-Link Omada EAP215-Bridge
Το TP-Link Omada EAP215-Bridge kit αποτελεί την ιδανική λύση για την εγκατάσταση συστημάτων βιντεοεπιτήρησης σε απομακρυσμένες περιοχές, παρέχοντας αξιόπιστη ασύρματη σύνδεση με μεγάλη εμβέλεια πο...