首页
社区
课程
招聘
[分享]卡巴斯基披露中国生物识别门禁系统存在24个漏洞
发表于: 2024-6-14 20:14 3118

[分享]卡巴斯基披露中国生物识别门禁系统存在24个漏洞

2024-6-14 20:14
3118

本周,卡巴斯基安全评估研究人员在一篇博客文章中透露,在中国混合生物识别门禁系统供应商ZkTeco的产品中发现了多个新漏洞。例如,通过向数据库中添加用户数据或使用伪造的二维码等手段,攻击者可轻松绕过验证流程并获得未经授权的访问权限;攻击者还可以窃取、泄露生物识别数据,远程操纵设备,以及部署后门等。



其中一个新发现的漏洞(CVE-2023-3938),允许网络犯罪分子执行SQL注入,即向发送到终端数据库的字符串中插入恶意代码。攻击者可以将特定数据注入到用于访问受限区域的二维码中,借此他们可以未经授权地访问终端并进入受限区域。


CVE-2023-3940则是软件组件中一个允许任意文件读取的漏洞。利用这些漏洞可允许攻击者访问系统上的任何文件并将之提取(包括敏感的生物识别用户数据和密码哈希,以进一步破坏企业凭证)。另一个漏洞CVE-2023-3942则提供了一种通过SQL注入攻击从生物识别设备数据库中检索敏感用户和系统信息的方法。



卡巴斯基发现的另外两个漏洞(CVE-2023-3939、CVE-2023-3943)使得黑客可以在某些ZKTeco设备上执行任意命令或代码,从而赋予攻击者最高权限级别的完全控制。这使得攻击者可以操纵设备的运行,利用它对其他网络节点发动攻击,并在更广泛的企业基础设施中扩大攻击。


而通过利用CVE-2023-3941,攻击者能够上传自己的数据(比如照片),从而将未经授权的个人添加到数据库中。这可能使其通过门禁而不被注意到。该漏洞另一个需要关注的地方是,它允许犯罪分子替换可执行文件,潜在地创建后门。


据了解,所有这些漏洞涉及基于ZkTeco的OEM设备,包括ZkTeco ProFace X、Smartec ST-FR043、Smartec ST-FR041ME等。发现这些漏洞的卡巴斯基研究人员在向公众披露之前,已向中国制造商报告了他们的发现。



编辑:左右里

资讯来源:kaspersky

转载请注明出处和本文链接


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//