Uma análise de um sistema híbrido de acesso biométrico do fabricante chinês ZKTeco descobriu duas dúzias de falhas de segurança que poderiam ser usadas por invasores para anular a autenticação, roubar dados biométricos e até implantar backdoors maliciosos.
“Ao adicionar dados aleatórios do usuário ao banco de dados ou usar um código QR falso, um ator nefasto pode facilmente contornar o processo de verificação e obter acesso não autorizado”, disse Kaspersky. “Os invasores também podem roubar e vazar dados biométricos, manipular dispositivos remotamente e implantar backdoors.”
As 24 falhas abrangem seis injeções de SQL, sete buffer overflows baseados em pilha, cinco injeções de comando, quatro gravações arbitrárias de arquivos e duas leituras arbitrárias de arquivos. Uma breve descrição de cada tipo de vulnerabilidade está abaixo –
- CVE-2023-3938 (Pontuação CVSS: 4,6) – Uma falha de injeção de SQL ao exibir um código QR na câmera do dispositivo, passando uma solicitação especialmente criada contendo aspas, permitindo assim que um invasor se autentique como qualquer usuário no banco de dados
- CVE-2023-3939 (Pontuação CVSS: 10,0) – Um conjunto de falhas de injeção de comando que permite a execução de comandos arbitrários do sistema operacional com privilégios de root
- CVE-2023-3940 (Pontuação CVSS: 7,5) – Um conjunto de falhas arbitrárias de leitura de arquivos que permite que um invasor ignore as verificações de segurança e acesse qualquer arquivo no sistema, incluindo dados confidenciais do usuário e configurações do sistema
- CVE-2023-3941 (Pontuação CVSS: 10,0) – Um conjunto de falhas arbitrárias de gravação de arquivos que permite que um invasor grave qualquer arquivo no sistema com privilégios de root, incluindo a alteração do banco de dados do usuário para adicionar usuários não autorizados
- CVE-2023-3942 (Pontuação CVSS: 7,5) – Um conjunto de falhas de injeção de SQL que permite que um invasor injete código SQL malicioso e execute operações não autorizadas de banco de dados e desvie dados confidenciais
- CVE-2023-3943 (Pontuação CVSS: 10,0) – Um conjunto de falhas de buffer overflow baseadas em pilha que permite que um invasor execute código arbitrário
“O impacto das vulnerabilidades descobertas é alarmantemente diverso”, disse o pesquisador de segurança Georgy Kiguradze. “Para começar, os invasores podem vender dados biométricos roubados na darkish net, sujeitando os indivíduos afetados a riscos aumentados de ataques deepfake e sofisticados de engenharia social”.
Além disso, a exploração bem-sucedida das deficiências poderia permitir que intervenientes nefastos obtivessem acesso a zonas de outra forma restritas e até implantassem backdoors para se infiltrarem em redes críticas para espionagem cibernética ou ataques disruptivos.
A empresa russa de segurança cibernética, que identificou as falhas após a engenharia reversa do firmware (versão ZAM170-NF-1.8.25-7354-Ver1.0.0) e do protocolo proprietário usado para se comunicar com o dispositivo, disse que não tem qualquer visibilidade sobre se esses problemas foram corrigidos.
Para mitigar o risco de ataques, é recomendado mover o uso do leitor biométrico para um segmento de rede separado, usar senhas de administrador robustas, melhorar as configurações de segurança do dispositivo, minimizar o uso de códigos QR e manter os sistemas atualizados.
“Dispositivos biométricos projetados para melhorar a segurança física podem oferecer recursos úteis e convenientes e introduzir novos riscos para o seu sistema de TI”, disse Kaspersky.
“Quando tecnologia avançada como a biometria é incluída em um dispositivo mal protegido, isso praticamente anula os benefícios da autenticação biométrica. Assim, um terminal configurado de forma insuficiente torna-se vulnerável a ataques simples, tornando mais fácil para um intruso violar a segurança física do áreas críticas da organização.”
