Sistemi di accesso biometrici vulnerabili

Le falle nei dispositivi biometrici di ZKTeco sono state scoperte durante le analisi di Security Assessment condotte dagli esperti di Kaspersky. I risultati sono stati condivisi con il produttore prima di essere resi pubblici. Questi lettori biometrici, utilizzati in settori come impianti nucleari, uffici e ospedali, supportano il riconoscimento facciale e l’autenticazione tramite codice QR. Tuttavia, le vulnerabilità scoperte li espongono a vari attacchi. Kaspersky ha classificato le falle in base alle patch necessarie e le ha registrate sotto specifiche CVE (Common Vulnerabilities and Exposures).

Bypass fisico attraverso un falso codice QR

La vulnerabilità CVE-2023-3938 permette ai cybercriminali di eseguire attacchi di SQL injection inserendo codice dannoso nelle stringhe inviate al database di un terminale. Gli aggressori possono usare dati specifici nel codice QR per ottenere accesso non autorizzato alle aree riservate. Quando il terminale elabora una richiesta con un codice QR dannoso, il database lo riconosce erroneamente come proveniente da un utente legittimo. Se il codice QR contiene troppi dati malevoli, il dispositivo si riavvia invece di concedere l’accesso.

“Oltre alla sostituzione del codice QR, esiste un altro interessante vettore di attacco fisico. Se un malintenzionato riesce ad accedere al database del terminale, può sfruttare altre vulnerabilità per scaricare la foto di un utente legittimo, stamparla e usarla per ingannare la fotocamera e accedere a un’area protetta. Questo metodo, ovviamente, presenta alcune limitazioni. Richiede una foto stampata e il rilevamento del calore deve essere disattivato ma rappresenta comunque una potenziale minaccia significativa”, ha affermato Georgy Kiguradze, Senior Application Security Specialist di Kaspersky.

Furto di dati biometrici, implementazione di backdoor e altri pericoli

Le CVE-2023-3940 sono vulnerabilità in un componente software che permettono la lettura arbitraria di file, consentendo a un aggressore di accedere ed esfiltrare qualsiasi file del sistema, inclusi dati biometrici sensibili e hash delle password.
La CVE-2023-3942 consente il recupero di informazioni sensibili dell’utente e del sistema dai database dei dispositivi biometrici tramite attacchi SQL injection. Gli attori delle minacce possono non solo accedere e rubare, ma anche alterare da remoto il database di un lettore biometrico sfruttando la CVE-2023-3941. Questo insieme di vulnerabilità ha origine da una verifica impropria dell’input dell’utente in più componenti di sistema. Lo sfruttamento di questa vulnerabilità consente agli aggressori di caricare i propri dati, come le foto, aggiungendo così persone non autorizzate al database. Ciò potrebbe consentire loro di bypassare furtivamente i tornelli o le porte. Un’altra caratteristica critica di questa vulnerabilità permette di sostituire i file eseguibili, creando così una potenziale backdoor.
Lo sfruttamento riuscito di altri due gruppi di nuove falle – CVE-2023-3939 e CVE-2023-3943 – consente l’esecuzione di comandi o codici arbitrari sul dispositivo, garantendo all’aggressore il pieno controllo con il massimo livello di privilegi. Ciò consente al cybercriminale di modificare il funzionamento del dispositivo, sfruttandolo per lanciare attacchi ad altri nodi di rete ed espandere l’attacco a un’infrastruttura aziendale più ampia.

“L’impatto delle vulnerabilità scoperte è allarmante. Per cominciare, gli aggressori possono vendere i dati biometrici rubati sul dark web, esponendo le vittime all’ulteriore rischio di deepfake e di sofisticati attacchi di social engineering. Inoltre, la possibilità di modificare il database vanifica lo scopo originario dei dispositivi di controllo degli accessi, consentendo potenzialmente l’accesso ad aree riservate ad attori malintenzionati. Infine, alcune vulnerabilità permettono di creare una backdoor per infiltrarsi di nascosto in altre reti aziendali, favorendo lo sviluppo di attacchi sofisticati, tra cui cyberspionaggio o sabotaggio. Tutti questi fattori sottolineano l’urgenza di correggere queste vulnerabilità e di verificare accuratamente le impostazioni di sicurezza dei dispositivi per chi li utilizza in aree aziendali”, ha aggiunto Georgy Kiguradze.

Al momento in cui sono state pubblicate le informazioni sulle vulnerabilità, Kaspersky non dispone di indicazioni relative al rilascio delle patch.

Per contrastare eventuali cyberattacchi correlati, oltre a installare le patch, Kaspersky consiglia di adottare le seguenti misure:

• Isolare l’uso del lettore biometrico in un segmento di rete separato.
• Utilizzare password di amministratore robuste, cambiando quelle predefinite.
• Verificare e rafforzare le impostazioni di sicurezza del dispositivo, modificando le impostazioni predefinite meno efficaci. Considerare l’attivazione o l’aggiunta del rilevamento della temperatura per evitare che l’autorizzazione sia data con una foto casuale.
• Ridurre al minimo l’uso della funzionalità QR-code, se possibile.
• Aggiornare regolarmente il firmware.

Leggi anche:”Kaspersky protegge la posta elettronica”

*illustrazione articolo progettata da  Freepik