11.06.2024, 13:33
Количество просмотров 394

«Лаборатория Касперского» нашла 24 уязвимости в популярном биометрическом терминале

Компания выявила многочисленные уязвимости в биометрическом терминале международного производителя ZKTeco. Они могут быть использованы для обхода системы контроля доступа и физического проникновения в охраняемые места, а также для кражи биометрических данных, внесения изменений в базы и установки бэкдоров.
«Лаборатория Касперского» нашла 24 уязвимости в популярном биометрическом терминале

Биометрические считыватели, о которых идёт речь, широко используются в самых разных отраслях по всему миру — от атомных электростанций и производств до офисов и организаций сферы здравоохранения. Они поддерживают четыре способа аутентификации пользователя: биометрический (с помощью лица), по паролю, электронному пропуску или QR-коду. В них могут храниться биометрические данные тысяч людей.

Эксперты «Лаборатории Касперского» сгруппировали все найденные уязвимости и зарегистрировали их, предварительно сообщив о них производителю.

Уязвимость, позволяющая злоумышленникам получать физический доступ в закрытые зоны (CVE-2023-3938). Одна из групп уязвимостей может быть использована для кибератак на основе SQL-инъекции. Злоумышленники могу внедрить данные в QR-код для доступа в те места, куда не попасть без авторизации. Если терминал начнёт обрабатывать запрос, содержащий такой вредоносный QR-код, база данных ошибочно идентифицирует его как исходящий от последнего авторизованного легитимного пользователя. Таким образом атака с использованием этого типа уязвимостей даёт возможность получать несанкционированный доступ к терминалу и физически попадать в закрытые зоны.

«Помимо замены QR-кода, существует ещё одна потенциальная возможность „обмануть“ систему и получить доступ в закрытые охраняемые зоны. Если злоумышленник получит доступ к базе данных устройства, он может использовать другие уязвимости, чтобы скачать фотографию легитимного пользователя, распечатать её и использовать для обмана камеры устройства, чтобы получить доступ в охраняемую зону. Этот метод, конечно, имеет определённые ограничения. Фотография обязательно должна быть распечатана или выведена на экран телефона, а тепловые датчики на биометрическом терминале — отключены. Однако такой метод всё равно представляет собой серьёзную угрозу», — комментирует Георгий Кигурадзе, эксперт по кибербезопасности в «Лаборатории Касперского».

 

Рубрика:
{}Безопасность
Новости в вашей почте
mail

PLUSworld в соцсетях:
telegram
vk
dzen
youtube
ЕЩЁ НОВОСТИ