本周,卡巴斯基安全评估研究人员在一篇博客文章中透露,在中国混合生物识别门禁系统供应商ZkTeco的产品中发现了多个新漏洞。例如,通过向数据库中添加用户数据或使用伪造的二维码等手段,攻击者可轻松绕过验证流程并获得未经授权的访问权限;攻击者还可以窃取、泄露生物识别数据,远程操纵设备,以及部署后门等。
其中一个新发现的漏洞(CVE-2023-3938),允许网络犯罪分子执行SQL注入,即向发送到终端数据库的字符串中插入恶意代码。攻击者可以将特定数据注入到用于访问受限区域的二维码中,借此他们可以未经授权地访问终端并进入受限区域。CVE-2023-3940则是软件组件中一个允许任意文件读取的漏洞。利用这些漏洞可允许攻击者访问系统上的任何文件并将之提取(包括敏感的生物识别用户数据和密码哈希,以进一步破坏企业凭证)。另一个漏洞CVE-2023-3942则提供了一种通过SQL注入攻击从生物识别设备数据库中检索敏感用户和系统信息的方法。卡巴斯基发现的另外两个漏洞(CVE-2023-3939、CVE-2023-3943)使得黑客可以在某些ZKTeco设备上执行任意命令或代码,从而赋予攻击者最高权限级别的完全控制。这使得攻击者可以操纵设备的运行,利用它对其他网络节点发动攻击,并在更广泛的企业基础设施中扩大攻击。而通过利用CVE-2023-3941,攻击者能够上传自己的数据(比如照片),从而将未经授权的个人添加到数据库中。这可能使其通过门禁而不被注意到。该漏洞另一个需要关注的地方是,它允许犯罪分子替换可执行文件,潜在地创建后门。据了解,所有这些漏洞涉及基于ZkTeco的OEM设备,包括ZkTeco ProFace X、Smartec ST-FR043、Smartec ST-FR041ME等。发现这些漏洞的卡巴斯基研究人员在向公众披露之前,已向中国制造商报告了他们的发现。资讯来源:kaspersky
转载请注明出处和本文链接
文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458558929&idx=2&sn=6c08e8fb0faf292cd7ac3fe9ae5c9307&chksm=b18d915b86fa184d125f97a0f3fac1b3e9e18e6a1da88ce11941e4f0270bac69d6826b58c743&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh