Un análisis de un sistema de acceso biométrico híbrido del fabricante chino ZKTeco ha descubierto dos docenas de fallos de seguridad que podrían ser utilizados por los atacantes para anular la autenticación, robar datos biométricos e incluso desplegar puertas traseras maliciosas.
"Añadiendo datos aleatorios del usuario a la base de datos o utilizando un código QR falso, un actor nefasto puede saltarse fácilmente el proceso de verificación y obtener acceso no autorizado", afirma Kaspersky. "Los atacantes también pueden robar y filtrar datos biométricos, manipular remotamente los dispositivos y desplegar puertas traseras".
Los 24 fallos abarcan seis inyecciones SQL, siete desbordamientos de búfer basados en pila, cinco inyecciones de comandos, cuatro escrituras arbitrarias de archivos y dos lecturas arbitrarias de archivos. A continuación se ofrece una breve descripción de cada tipo de vulnerabilidad:
- CVE-2023-3938 (puntuación CVSS: 4,6) - Un fallo de inyección SQL al mostrar un código QR en la cámara del dispositivo pasando una solicitud especialmente diseñada que contiene una comilla, lo que permite a un atacante autenticarse como cualquier usuario de la base de datos.
- CVE-2023-3939 (puntuación CVSS: 10,0) - Un conjunto de fallos de inyección de comandos que permite la ejecución de comandos arbitrarios del sistema operativo con privilegios de root.
- CVE-2023-3940 (puntuación CVSS: 7,5): conjunto de fallos de lectura arbitraria de archivos que permite a un atacante saltarse las comprobaciones de seguridad y acceder a cualquier archivo del sistema, incluidos datos confidenciales del usuario y configuraciones del sistema.
- CVE-2023-3941 (puntuación CVSS: 10,0): conjunto de fallos de escritura arbitraria de archivos que permite a un atacante escribir cualquier archivo del sistema con privilegios de root, incluida la alteración de la base de datos de usuarios para añadir usuarios no autorizados.
- CVE-2023-3942 (puntuación CVSS: 7,5): conjunto de fallos de inyección SQL que permite a un atacante inyectar código SQL malicioso y realizar operaciones no autorizadas en la base de datos y desviar datos confidenciales.
- CVE-2023-3943 (puntuación CVSS: 10,0): conjunto de fallos de desbordamiento de búfer basados en pila que permiten a un atacante ejecutar código arbitrario.
"El impacto de las vulnerabilidades descubiertas es alarmantemente diverso", afirmó el investigador de seguridad Georgy Kiguradze. "Para empezar, los atacantes pueden vender los datos biométricos robados en la dark web, sometiendo a las personas afectadas a mayores riesgos de deepfake y sofisticados ataques de ingeniería social".
Además, el aprovechamiento de las deficiencias podría permitir a agentes malintencionados acceder a zonas restringidas e incluso implantar puertas traseras para infiltrarse en redes críticas con fines de ciberespionaje o ataques disruptivos.
La empresa rusa de ciberseguridad, que identificó los fallos tras realizar ingeniería inversa del firmware (versión ZAM170-NF-1.8.25-7354-Ver1.0.0) y del protocolo propietario utilizado para comunicarse con el dispositivo, dijo que no tiene ninguna visibilidad sobre si estos problemas han sido parcheados.
Para mitigar el riesgo de ataques, se recomienda trasladar el uso del lector biométrico a un segmento de red separado, utilizar contraseñas de administrador robustas, mejorar la configuración de seguridad del dispositivo, minimizar el uso de códigos QR y mantener los sistemas actualizados.
"Los dispositivos biométricos diseñados para mejorar la seguridad física pueden ofrecer funciones prácticas y útiles, pero también introducir nuevos riesgos para su sistema informático", afirma Kaspersky.
"Cuando una tecnología avanzada como la biométrica se encierra en un dispositivo mal protegido, prácticamente se anulan las ventajas de la autenticación biométrica. Así, un terminal insuficientemente configurado se vuelve vulnerable a ataques simples, facilitando que un intruso comprometa la seguridad física de las áreas críticas de la organización."
Fuente: thehackernews