本周,卡巴斯基安全评估研究人员在一篇博客文章中透露,在中国混合生物识别门禁系统供应商ZkTeco的产品中发现了多个新漏洞。例如,通过向数据库中添加用户数据或使用伪造的二维码等手段,攻击者可轻松绕过验证流程并获得未经授权的访问权限;攻击者还可以窃取、泄露生物识别数据,远程操纵设备,以及部署后门等。
其中一个新发现的漏洞(CVE-2023-3938),允许网络犯罪分子执行SQL注入,即向发送到终端数据库的字符串中插入恶意代码。攻击者可以将特定数据注入到用于访问受限区域的二维码中,借此他们可以未经授权地访问终端并进入受限区域。
CVE-2023-3940则是软件组件中一个允许任意文件读取的漏洞。利用这些漏洞可允许攻击者访问系统上的任何文件并将之提取(包括敏感的生物识别用户数据和密码哈希,以进一步破坏企业凭证)。另一个漏洞CVE-2023-3942则提供了一种通过SQL注入攻击从生物识别设备数据库中检索敏感用户和系统信息的方法。
卡巴斯基发现的另外两个漏洞(CVE-2023-3939、CVE-2023-3943)使得黑客可以在某些ZKTeco设备上执行任意命令或代码,从而赋予攻击者最高权限级别的完全控制。这使得攻击者可以操纵设备的运行,利用它对其他网络节点发动攻击,并在更广泛的企业基础设施中扩大攻击。
而通过利用CVE-2023-3941,攻击者能够上传自己的数据(比如照片),从而将未经授权的个人添加到数据库中。这可能使其通过门禁而不被注意到。该漏洞另一个需要关注的地方是,它允许犯罪分子替换可执行文件,潜在地创建后门。
据了解,所有这些漏洞涉及基于ZkTeco的OEM设备,包括ZkTeco ProFace X、Smartec ST-FR043、Smartec ST-FR041ME等。发现这些漏洞的卡巴斯基研究人员在向公众披露之前,已向中国制造商报告了他们的发现。
资讯来源:kaspersky
转载请注明出处和本文链接
原文始发于微信公众号(看雪学苑):卡巴斯基披露中国生物识别门禁系统存在24个漏洞
评论