Η Kaspersky έχει εντοπίσει πολλά ελαττώματα στο υβριδικό βιομετρικό τερματικό που παράγεται από τον διεθνή κατασκευαστή ZKTeco.
Προσθέτοντας τυχαία δεδομένα χρήστη στη βάση δεδομένων ή χρησιμοποιώντας έναν ψεύτικο κωδικό QR, ένας κακόβουλος φορέας μπορεί εύκολα να παρακάμψει τη διαδικασία επαλήθευσης και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση. Οι επιτιθέμενοι μπορούν επίσης να κλέψουν και να διαρρεύσουν βιομετρικά δεδομένα, να χειριστούν συσκευές εξ αποστάσεως και να αναπτύξουν κερκόπορτες. Οι εγκαταστάσεις υψηλής ασφάλειας παγκοσμίως κινδυνεύουν εάν χρησιμοποιούν αυτήν την ευάλωτη συσκευή.
Τα ελαττώματα ανακαλύφθηκαν κατά τη διάρκεια της έρευνας των ειδικών του Kaspersky Security Assessment σχετικά με το λογισμικό και το hardware των white-label συσκευών της ZKTeco. Όλα τα ευρήματα κοινοποιήθηκαν προληπτικά στον κατασκευαστή πριν από τη δημόσια αποκάλυψη.
Οι εν λόγω βιομετρικοί αναγνώστες χρησιμοποιούνται ευρέως σε διάφορους τομείς – από πυρηνικά ή χημικά εργοστάσια έως γραφεία και νοσοκομεία. Αυτές οι συσκευές υποστηρίζουν αναγνώριση προσώπου και έλεγχο ταυτότητας κωδικού QR, μαζί με τη δυνατότητα αποθήκευσης χιλιάδων προτύπων προσώπου. Ωστόσο, τα τρωτά σημεία που ανακαλύφθηκαν πρόσφατα τα εκθέτουν σε διάφορες επιθέσεις. Η Kaspersky ομαδοποίησε τα ελαττώματα με βάση τις απαιτούμενες ενημερώσεις κώδικα και τα καταχώρησε σε συγκεκριμένα CVE (Common Vulnerabilities and Exposures).
Φυσική παράκαμψη μέσω ψεύτικου κωδικού QR
Η ευπάθεια CVE-2023-3938 επιτρέπει στους εγκληματίες του κυβερνοχώρου να εκτελούν μια κυβερνοεπίθεση γνωστή ως έγχυση SQL, η οποία περιλαμβάνει την εισαγωγή κακόβουλου κώδικα σε συμβολοσειρές που αποστέλλονται στη βάση δεδομένων ενός τερματικού. Οι επιτιθέμενοι μπορούν να εισάγουν συγκεκριμένα δεδομένα στον κωδικό QR που χρησιμοποιείται για την πρόσβαση σε ζώνες περιορισμένης πρόσβασης. Κατά συνέπεια, μπορούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στον τερματικό σταθμό και φυσική πρόσβαση στις ζώνες περιορισμένης πρόσβασης.
Όταν ο τερματικός επεξεργάζεται ένα αίτημα που περιέχει αυτόν τον τύπο κακόβουλου κωδικού QR, η βάση δεδομένων αναγνωρίζει εσφαλμένα ότι προέρχεται από τον πιο πρόσφατα εξουσιοδοτημένο νόμιμο χρήστη. Εάν ο ψεύτικος κωδικός QR περιέχει υπερβολικό όγκο κακόβουλων δεδομένων, αντί να παραχωρήσει πρόσβαση, γίνεται επανεκκίνηση της συσκευής.
«Εκτός από την αντικατάσταση του κωδικού QR, υπάρχει ένας άλλος ενδιαφέρων φορέας φυσικής επίθεσης. Εάν κάποιος με κακόβουλη πρόθεση αποκτήσει πρόσβαση στη βάση δεδομένων της συσκευής, μπορεί να εκμεταλλευτεί άλλες ευπάθειες για να κατεβάσει τη φωτογραφία ενός νόμιμου χρήστη, να την εκτυπώσει και να τη χρησιμοποιήσει για να εξαπατήσει την κάμερα της συσκευής για να αποκτήσει πρόσβαση σε μια ασφαλισμένη περιοχή. Αυτή η μέθοδος, φυσικά, έχει ορισμένους περιορισμούς. Απαιτεί εκτυπωμένη φωτογραφία και η ανίχνευση θερμότητας πρέπει να είναι απενεργοποιημένη. Ωστόσο, εξακολουθεί να αποτελεί σημαντική δυνητική απειλή», δήλωσε ο Georgy Kiguradze, Senior Application Security Specialist της Kaspersky.
Κλοπή βιομετρικών δεδομένων, ανάπτυξη κερκόπορτας και άλλοι κίνδυνοι
Τα CVE-2023-3940 είναι ελαττώματα σε ένα στοιχείο λογισμικού που επιτρέπουν την αυθαίρετη ανάγνωση αρχείων. Η εκμετάλλευση αυτών των ευπαθειών παρέχει σε έναν πιθανό εισβολέα πρόσβαση σε οποιοδήποτε αρχείο του συστήματος και του επιτρέπει να το εξαγάγει. Αυτό περιλαμβάνει ευαίσθητα βιομετρικά δεδομένα χρήστη και κατακερματισμούς κωδικών πρόσβασης για περαιτέρω παραβίαση των εταιρικών διαπιστευτηρίων. Ομοίως, το CVE-2023-3942 παρέχει έναν άλλο τρόπο ανάκτησης ευαίσθητων πληροφοριών χρήστη και συστήματος από τις βάσεις δεδομένων των συσκευών βιομετρίας – μέσω επιθέσεων έγχυσης SQL.
Οι φορείς απειλής μπορούν όχι μόνο να έχουν πρόσβαση και να κλέβουν, αλλά και να τροποποιούν εξ αποστάσεως τη βάση δεδομένων ενός βιομετρικού αναγνώστη εκμεταλλευόμενοι το CVE-2023-3941. Αυτή η ομάδα ευπαθειών προέρχεται από ακατάλληλη επαλήθευση της εισόδου χρήστη σε πολλά στοιχεία του συστήματος. Η εκμετάλλευσή του επιτρέπει στους επιτιθέμενους να ανεβάζουν τα δικά τους δεδομένα, όπως φωτογραφίες, προσθέτοντας έτσι μη εξουσιοδοτημένα άτομα στη βάση δεδομένων. Αυτό θα μπορούσε να τους επιτρέψει να παρακάμψουν κρυφά τουρνικέ ή πόρτες. Ένα άλλο κρίσιμο χαρακτηριστικό αυτής της ευπάθειας επιτρέπει στους δράστες να αντικαταστήσουν εκτελέσιμα αρχεία, δημιουργώντας ενδεχομένως μια κερκόπορτα.
Η επιτυχής εκμετάλλευση δύο άλλων ομάδων νέων ελαττωμάτων – CVE-2023-3939 και CVE-2023-3943 – επιτρέπει την εκτέλεση αυθαίρετων εντολών ή κώδικα στη συσκευή, παρέχοντας στον εισβολέα πλήρη έλεγχο με το υψηλότερο επίπεδο προνομίων. Αυτό επιτρέπει στον φορέα απειλής να χειραγωγήσει τη λειτουργία της συσκευής, αξιοποιώντας την για να ξεκινήσει επιθέσεις σε άλλους κόμβους δικτύου και να επεκτείνει το αδίκημα σε μια ευρύτερη εταιρική υποδομή.
«Ο αντίκτυπος των τρωτών σημείων που ανακαλύφθηκαν είναι ανησυχητικά ευρύς. Αρχικά, οι επιτιθέμενοι μπορούν να πουλήσουν κλεμμένα βιομετρικά δεδομένα στο dark web, υποβάλλοντας τα επηρεαζόμενα άτομα σε αυξημένους κινδύνους deepfake και εξελιγμένων επιθέσεων κοινωνικής μηχανικής. Επιπλέον, η δυνατότητα τροποποίησης της βάσης δεδομένων οπλοποιεί τον αρχικό σκοπό των συσκευών ελέγχου πρόσβασης, ενδεχομένως παρέχοντας πρόσβαση σε κακόβουλους φορείς σε περιοχές περιορισμένης πρόσβασης. Τέλος, ορισμένα τρωτά σημεία επιτρέπουν την τοποθέτηση μιας κερκόπορτας για να διεισδύσει κρυφά σε άλλα επιχειρηματικά δίκτυα, διευκολύνοντας την ανάπτυξη εξελιγμένων επιθέσεων, συμπεριλαμβανομένης της κυβερνοκατασκοπείας ή του σαμποτάζ. Όλοι αυτοί οι παράγοντες υπογραμμίζουν τον επείγοντα χαρακτήρα της επιδιόρθωσης αυτών των τρωτών σημείων και του διεξοδικού ελέγχου των ρυθμίσεων ασφαλείας της συσκευής για όσους χρησιμοποιούν τις συσκευές σε εταιρικούς τομείς», εξηγεί ο Georgy Kiguradze.
Κατά τη στιγμή της δημοσίευσης των πληροφοριών ευπάθειας, η Kaspersky δεν διαθέτει προσβάσιμα δεδομένα σχετικά με το αν έχουν εκδοθεί οι ενημερώσεις κώδικα.
Για να αποτρέψετε σχετικές ψηφιακές επιθέσεις, εκτός από την εγκατάσταση της ενημερωμένης έκδοσης κώδικα, η Kaspersky συμβουλεύει να ακολουθήσετε τα επόμενα βήματα:
- Απομονώστε τη χρήση βιομετρικών αναγνωστών σε ξεχωριστό τμήμα δικτύου.
- Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης διαχειριστή, αλλάζοντας τους προεπιλεγμένους κωδικούς.
- Ελέγξτε και ενισχύστε τις ρυθμίσεις ασφαλείας της συσκευής, ενισχύοντας τις αδύναμες προεπιλογές. Εξετάστε το ενδεχόμενο να ενεργοποιήσετε ή να προσθέσετε ανίχνευση θερμότητας για να αποφύγετε την εξουσιοδότηση χρησιμοποιώντας μια τυχαία φωτογραφία.
- Ελαχιστοποιήστε τη χρήση της λειτουργικότητας QR-code, εάν είναι εφικτό.
- Ενημερώνετε τακτικά το υλικολογισμικό.
Για περισσότερες πληροφορίες επισκεφτείτε το Securelist.com.