Kaspersky scopre 24 vulnerabilità nei sistemi di accesso biometrici cinesi

Le falle sono state scoperte durante le analisi di Security Assessment, condotte dagli esperti Kaspersky, sul software e sull'hardware dei dispositivi white-label di ZKTeco.

Autore: Redazione BitCity

Kaspersky ha identificato numerose falle nel terminale biometrico ibrido sviluppato dal produttore internazionale ZKTeco. Inserendo nel database dati utente casuali o utilizzando un codice QR falso, un criminale può facilmente aggirare il processo di verifica e ottenere un accesso non autorizzato. Inoltre, gli aggressori possono rubare e divulgare i dati biometrici, manipolare i dispositivi da remoto e installare backdoor. Le infrastrutture ad alta sicurezza di tutto il mondo sono a rischio se utilizzano questo dispositivo vulnerabile. Le falle sono state scoperte durante le analisi di Security Assessment, condotte dagli esperti Kaspersky, sul software e sull'hardware dei dispositivi white-label di ZKTeco. Tutti i risultati sono stati condivisi direttamente con il produttore prima di essere resi pubblici. I lettori biometrici in questione sono ampiamente utilizzati in diversi settori, dagli impianti nucleari o chimici agli uffici e agli ospedali. Questi dispositivi supportano il riconoscimento del volto e l'autenticazione tramite codice QR, oltre alla capacità di memorizzare migliaia di modelli facciali, ma le vulnerabilità recentemente scoperte li espongono a vari attacchi. Kaspersky ha raggruppato le falle in base alle patch necessarie e le ha registrate sotto specifiche CVE (Common Vulnerabilities and Exposures). La vulnerabilità CVE-2023-3938 consente ai cybercriminali di eseguire un attacco informatico noto come SQL injection, che prevede l'inserimento di codice dannoso nelle stringhe inviate al database di un terminale. Gli aggressori possono inserire dati specifici nel codice QR utilizzato per accedere alle aree riservate e, di conseguenza, possono ottenere un accesso non autorizzato al terminale per entrare fisicamente nelle aree riservate. Quando il terminale elabora una richiesta contenente questo tipo di codice QR dannoso, il database la identifica erroneamente come proveniente dall'ultimo utente legittimo autorizzato. Se il codice QR falso contiene una quantità eccessiva di dati malevoli, invece di concedere l'accesso, il dispositivo si riavvia. "Oltre alla sostituzione del codice QR, esiste un altro interessante vettore di attacco fisico. Se un malintenzionato riesce ad accedere al database del terminale, può sfruttare altre vulnerabilità per scaricare la foto di un utente legittimo, stamparla e usarla per ingannare la fotocamera e accedere a un'area protetta. Questo metodo, ovviamente, presenta alcune limitazioni. Richiede una foto stampata e il rilevamento del calore deve essere disattivato ma rappresenta comunque una potenziale minaccia significativa", ha affermato Georgy Kiguradze, Senior Application Security Specialist di Kaspersky. Le CVE-2023-3940 sono falle in un componente software che consentono la lettura di file in modo arbitrario. Lo sfruttamento di queste vulnerabilità consente a un potenziale aggressore di accedere a qualsiasi file del sistema e di esfiltrarlo. Tra questi vi sono i dati biometrici sensibili dell'utente e gli hash delle password per compromettere ulteriormente le credenziali aziendali. Analogamente, la CVE-2023-3942 permette di recuperare informazioni sensibili dell'utente e del sistema dai database dei dispositivi di biometria attraverso attacchi SQL injection. Gli attori delle minacce possono non solo accedere e rubare, ma anche alterare da remoto il database di un lettore biometrico sfruttando la CVE-2023-3941. Questo insieme di vulnerabilità ha origine da una verifica impropria dell'input dell'utente in più componenti di sistema. Lo sfruttamento di questa vulnerabilità consente agli aggressori di caricare i propri dati, come le foto, aggiungendo così persone non autorizzate al database. Ciò potrebbe consentire loro di bypassare furtivamente i tornelli o le porte. Un'altra caratteristica critica di questa vulnerabilità permette di sostituire i file eseguibili, creando così una potenziale backdoor. Lo sfruttamento riuscito di altri due gruppi di nuove falle - CVE-2023-3939 e CVE-2023-3943 - consente l'esecuzione di comandi o codici arbitrari sul dispositivo, garantendo all'aggressore il pieno controllo con il massimo livello di privilegi. Ciò consente al cybercriminale di modificare il funzionamento del dispositivo, sfruttandolo per lanciare attacchi ad altri nodi di rete ed espandere l’attacco a un'infrastruttura aziendale più ampia. "L'impatto delle vulnerabilità scoperte è allarmante. Per cominciare, gli aggressori possono vendere i dati biometrici rubati sul dark web, esponendo le vittime all’ulteriore rischio di deepfake e di sofisticati attacchi di social engineering. Inoltre, la possibilità di modificare il database vanifica lo scopo originario dei dispositivi di controllo degli accessi, consentendo potenzialmente l'accesso ad aree riservate ad attori malintenzionati. Infine, alcune vulnerabilità permettono di creare una backdoor per infiltrarsi di nascosto in altre reti aziendali, favorendo lo sviluppo di attacchi sofisticati, tra cui cyberspionaggio o sabotaggio. Tutti questi fattori sottolineano l'urgenza di correggere queste vulnerabilità e di verificare accuratamente le impostazioni di sicurezza dei dispositivi per chi li utilizza in aree aziendali", ha aggiunto Georgy Kiguradze.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.