本周，卡巴斯基安全评估研究人员在一篇博客文章中透露，在中国混合生物识别门禁系统供应商ZkTeco的产品中发现了多个新漏洞。例如，通过向数据库中添加用户数据或使用伪造的二维码等手段，攻击者可轻松绕过验证流程并获得未经授权的访问权限；攻击者还可以窃取、泄露生物识别数据，远程操纵设备，以及部署后门等。

其中一个新发现的漏洞（CVE-2023-3938），允许网络犯罪分子执行SQL注入，即向发送到终端数据库的字符串中插入恶意代码。攻击者可以将特定数据注入到用于访问受限区域的二维码中，借此他们可以未经授权地访问终端并进入受限区域。

CVE-2023-3940则是软件组件中一个允许任意文件读取的漏洞。利用这些漏洞可允许攻击者访问系统上的任何文件并将之提取（包括敏感的生物识别用户数据和密码哈希，以进一步破坏企业凭证）。另一个漏洞CVE-2023-3942则提供了一种通过SQL注入攻击从生物识别设备数据库中检索敏感用户和系统信息的方法。

卡巴斯基发现的另外两个漏洞（CVE-2023-3939、CVE-2023-3943）使得黑客可以在某些ZKTeco设备上执行任意命令或代码，从而赋予攻击者最高权限级别的完全控制。这使得攻击者可以操纵设备的运行，利用它对其他网络节点发动攻击，并在更广泛的企业基础设施中扩大攻击。

而通过利用CVE-2023-3941，攻击者能够上传自己的数据（比如照片），从而将未经授权的个人添加到数据库中。这可能使其通过门禁而不被注意到。该漏洞另一个需要关注的地方是，它允许犯罪分子替换可执行文件，潜在地创建后门。

据了解，所有这些漏洞涉及基于ZkTeco的OEM设备，包括ZkTeco ProFace X、Smartec ST-FR043、Smartec ST-FR041ME等。发现这些漏洞的卡巴斯基研究人员在向公众披露之前，已向中国制造商报告了他们的发现。

编辑：左右里

资讯来源：kaspersky

转载请注明出处和本文链接

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法