СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Артем
18.06.2024
#ИБ

«Лаборатория Касперского» обнаружила 24 уязвимости у китайского поставщика биометрического оборудования

Лаборатория Касперского обнаружила 24 уязвимости у китайского поставщика биометрического оборудования

Специалисты по информационной безопасности «Лаборатории Касперского» в своём новом отдельном отчёте рассказали о серьёзных уязвимостях, которые были обнаружены в продуктах и оборудовании известного китайского поставщика систем гибридного биометрического доступа ZkTeco.

По словам специалистов команды Kaspersky Security Assessment, в ходе проведения своего исследования им удалось найти 24 серьёзные уязвимости в биометрических считывателях ZkTeco, которые используются при построении систем доступа в различных отраслях (офисы, больницы, атомные и химические заводы и т.д.).

Некоторые из этих ошибок настолько серьёзные, что хакеры могут легко обойти процесс проверки и получить несанкционированный доступ, добавив случайные данные пользователя в базу данных или используя поддельный QR-код. Хакеры также могут красть и разглашать биометрические данные, удалённо манипулировать устройствами и использовать бэкдоры.

Одна из недавно обнаруженных уязвимостей, отслеживаемая как CVE-2023-3938, позволяет киберпреступникам выполнять SQL-инъекцию, которая предполагает вставку вредоносного кода в строки, отправляемые в базу данных терминала.

Злоумышленники могут ввести определённые данные в QR-код для доступа к зонам с ограниченным доступом. Следовательно, они могут получить несанкционированный доступ к терминалу и физически получить доступ к зонам с ограниченным доступом.

Кроме того, CVE-2023-3940 содержит недостатки в программном компоненте, допускающем произвольное чтение файлов. Использование этих уязвимостей предоставляет потенциальному злоумышленнику доступ к любому файлу в системе и возможность его извлечения. Сюда входят конфиденциальные биометрические данные пользователя и хэши паролей для дальнейшей компрометации корпоративных учётных данных.

Аналогичным образом, CVE-2023-3942 предоставляет ещё один способ получения конфиденциальной пользовательской и системной информации из баз данных биометрических устройств посредством атак с использованием SQL-инъекций.

С полной версией отчёта «Лаборатории Касперского» по поводу уязвимостей в продуктах ZkTeco можно ознакомиться по следующей ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: