Танымал биометриялық терминалда 24 осалдық табылды

«Касперский зертханасы» халықаралық өндіруші ZKTeco биометриялық терминалында көптеген осалдықтарды анықтады.

Олар қорғалатын орындарға кіруді бақылау және физикалық ену жүйесін айналып өту үшін, сондай-ақ биометриялық деректерді ұрлау, базаларға өзгерістер енгізу және артқы есіктерді орнату үшін пайдаланылуы мүмкін.

Қарастырылып отырған биометриялық оқырмандар атом электр станциялары мен өндірістерінен бастап кеңселер мен денсаулық сақтау ұйымдарына дейін бүкіл әлем бойынша әртүрлі салаларда кеңінен қолданылады. Олар пайдаланушының аутентификациясының төрт әдісін қолдайды: биометриялық (бетті пайдалану), пароль, электронды билет немесе QR коды. Олар мыңдаған адамдардың биометриялық деректерін сақтай алады. «Касперский зертханасының» сарапшылары табылған барлық осалдықтарды топтастырып, оларды өндірушіге алдын ала хабарлау арқылы тіркеді.

Шабуылдаушыларға жабық аймақтарға физикалық қол жеткізуге мүмкіндік беретін осалдық (CVE-2023-3938). Осалдық топтарының бірін SQL инъекциясына негізделген кибершабуылдар үшін пайдалануға болады. Зиянкестер кіре алмайтын жерлерге кіру үшін деректерді QR кодына енгізе алады авторизациясыз. Егер терминал осындай зиянды QR коды бар сұранысты өңдей бастаса, дерекқор оны соңғы рұқсат етілген заңды пайдаланушыдан шыққан деп қате анықтайды. Осылайша, осалдықтың осы түрін қолдана отырып шабуыл терминалға рұқсатсыз кіруге және жабық аймақтарға физикалық түрде кіруге мүмкіндік береді.

«QR кодын ауыстырудан басқа, жүйені «алдаудың» және жабық қорғалатын аймақтарға кірудің тағы бір мүмкіндігі бар. Егер шабуылдаушы құрылғының дерекқорына қол жеткізе алса, ол заңды пайдаланушының фотосуретін жүктеп алу, басып шығару және қорғалатын аймаққа кіру үшін құрылғының камерасын алдау үшін басқа осалдықтарды пайдалана алады. Бұл әдіс, әрине, белгілі бір шектеулерге ие. Фотосурет міндетті түрде басып шығарылуы немесе телефон экранына шығарылуы керек, ал биометриялық терминалдағы жылу датчиктері өшірілуі керек. Алайда, бұл әдіс әлі де үлкен қауіп төндіреді», — деп түсіндіреді Касперский Зертханасының Киберқауіпсіздік бойынша сарапшысы Джордж Кигурадзе.

Биометриялық деректерді ұрлау, артқы есіктерді орнату. Басқа осалдықтар тобы (CVE-2023-3940) ықтимал шабуылдаушыға жүйедегі кез-келген файлға қол жеткізуге және оны шығаруға мүмкіндік береді. Бұл шабуылдаушылар пайдаланушылардың құпия биометриялық деректері мен құпия сөз хэштеріне қол жеткізе алады және болашақта корпоративтік тіркелгі деректеріне нұқсан келтіруі мүмкін дегенді білдіреді. Алайда ұрланған биометриялық мәліметтерді түсіндіру өте қиын міндет болып қала береді.

Осалдықтардың тағы бір тобы (CVE-2023-3941) биометриялық оқырман дерекқорына өзгерістер енгізуге мүмкіндік береді. Осылайша, шабуылдаушылар оған фотосуреттер сияқты өз деректерін жүктей алады, яғни өздерін авторизацияланған пайдаланушылар тізіміне қосып, содан кейін турникеттерден немесе есіктерден өте алады. Сондай-ақ, осалдықтардың бұл тобы орындалатын файлдарды ауыстыруға мүмкіндік береді, бұл артқы есікті жасауға мүмкіндік береді.

Тағы екі осалдық тобы (CVE-2023-3939, CVE-2023-3943) құрылғыда ерікті командаларды немесе кодты орындауға мүмкіндік береді, бұл шабуылдаушыға артықшылықтардың ең жоғары деңгейімен толық бақылауды қамтамасыз етеді. Бұл құрылғыны басқа желілік түйіндерге шабуыл жасау үшін пайдалануға болатынын білдіреді, яғни бүкіл корпоративтік инфрақұрылымға қауіп төніп тұр.

Zkteco биометриялық терминалдарындағы осалдық түрлері туралы толығырақ мына жерден оқи аласыз: https://securelist.ru/biometric-terminal-vulnerabilities/109673/.

Аталған осалдықтарды пайдаланып шабуылдардың алдын алу үшін» Касперский зертханасы » осындай терминал модельдері қолданылатын кәсіпорындарға кеңес береді:

— оларды желінің жеке сегментіне бөліңіз;

— күшті әкімші құпия сөздерін қолданыңыз, әдепкі бойынша орнатылғандарды ауыстырыңыз;

— кездейсоқ фотосурет авторизациясын болдырмау үшін құрылғының қауіпсіздік параметрлерін тексеріңіз және күшейтіңіз, биометриялық терминалда жылу датчиктерін қосыңыз;

— QR кодтарын пайдалануды азайтыңыз;

— микробағдарламаны үнемі жаңартып отырыңыз.