Kaspersky, ZKTeco'nun ürettiği hibrit biyometrik terminalde çok sayıda kusur tespit etti
Kaspersky Kıdemli Uygulama Güvenliği Uzmanı Georgy Kiguradze:
- "Veri tabanını değiştirme yeteneği, erişim kontrol cihazlarının asıl amacını silah haline getirerek, potansiyel olarak kötü niyetli aktörler için kısıtlı alanlara erişim sağlar"
İSTANBUL - Kaspersky, uluslararası üretici ZKTeco tarafından üretilen hibrit biyometrik terminalde çok sayıda kusur tespit etti.
Şirketten yapılan açıklamaya göre, bulunan kusurlar, Kaspersky Security Assessment uzmanlarının ZKTeco'nun beyaz etiketli cihazlarının yazılım ve donanımına yönelik araştırmaları sırasında keşfedildi. Tüm bulgular, kamuya açıklanmadan önce proaktif olarak üretici ile paylaşıldı.
Söz konusu biyometrik okuyucular, nükleer veya kimyasal tesislerden ofislere ve hastanelere kadar farklı sektörlerde geçiş ve kimlik doğrulama için yaygın olarak kullanılıyor. Bu cihazlar yüz tanıma ve QR-kod kimlik doğrulamasının yanı sıra binlerce yüz şablonunu saklama kapasitesine de sahip olduğu biliniyor.
Ancak yeni keşfedilen güvenlik açıkları cihazları çeşitli saldırılara maruz bırakıyor. Kaspersky, açıkları gerekli yamalara göre gruplandırdı ve bunları belirli CVE'ler (Ortak Güvenlik Açıkları ve Maruziyetler) altında kaydetti.
- QR koduna belirli verileri enjekte edebiliyorlar
CVE-2023-3938 güvenlik açığı, siber suçluların SQL enjeksiyonu olarak bilinen ve terminalin veritabanına gönderilen dizelere kötü amaçlı kod eklemeyi içeren bir siber saldırı gerçekleştirmesine olanak tanıyor. Bu yolla saldırganlar, kısıtlı alanlara erişim için kullanılan QR koduna belirli verileri enjekte edebiliyor. Sonuç olarak terminale yetkisiz erişim elde edebiliyor ve kısıtlı alanlara fiziksel olarak erişim sağlayabiliyorlar.
Terminal bu tür kötü amaçlı QR kodu içeren bir talebi işlediğinde, veri tabanı bu talebi yanlışlıkla en son yetkilendirilmiş meşru kullanıcıdan gelmiş gibi tanımlıyor. Sahte QR kodu aşırı miktarda kötü amaçlı veri içeriyorsa, erişim izni vermek yerine cihaz yeniden başlatılıyor.
CVE-2023-3940, keyfi dosya okumaya izin veren bir yazılım bileşenindeki kusurlara karşılık geliyor. Bu güvenlik açıklarından faydalanmak, potansiyel saldırganın sistemdeki herhangi bir dosyaya erişmesini ve dosyayı ayıklamasını sağlıyor. Bu, kurumsal kimlik bilgilerini daha da tehlikeye atabilecek hassas biyometrik kullanıcı verilerini ve parola karmalarını içeriyor. Benzer şekilde CVE-2023-3942, SQL enjeksiyon saldırıları yoluyla biyometri cihazlarının veri tabanlarından hassas kullanıcı ve sistem bilgilerini almak için bir yol açıyor.
Tehdit aktörleri CVE-2023-3941'den faydalanarak biyometrik okuyucunun veri tabanına erişip çalmakla kalmayıp uzaktan değiştirebiliyorlar.
Bu güvenlik açığı grubu, birden fazla sistem bileşeninde kullanıcı girdisinin hatalı olarak doğrulanmasından kaynaklanıyor. Bu açıktan faydalanmak, saldırganların fotoğraf gibi kendi verilerini yüklemelerine ve böylece veri tabanına yetkisiz kişileri eklemelerine olanak tanıyor. Bu, saldırganların turnikeleri veya kapıları gizlice atlamalarını sağlayabiliyor. Bu güvenlik açığının bir diğer kritik özelliği de faillerin çalıştırılabilir dosyaları değiştirerek potansiyel olarak bir arka kapı oluşturmalarını sağlıyor.
Diğer iki yeni hata grubunun (CVE-2023-3939 ve CVE-2023-3943) başarılı bir şekilde kullanılması, cihaz üzerinde keyfi komutların veya kodların yürütülmesini sağlayarak saldırgana en üst düzey ayrıcalıklarla tam kontrol veriyor. Bu, tehdit aktörünün cihazın çalışma şeklini manipüle etmesine, diğer ağ düğümlerine saldırılar başlatmak ve saldırıyı daha geniş bir kurumsal altyapıya yaymak için kullanmasına olanak tanıyor.
Açıklamada görüşlerine yer verilen Kaspersky Kıdemli Uygulama Güvenliği Uzmanı Georgy Kiguradze, QR kodunu değiştirmenin yanı sıra, ilgi çekici başka bir fiziksel saldırı vektörünün daha var oldğunu belirtti.
Kiguradze, "Kötü niyetli birileri cihazın veri tabanına erişim sağlarsa, diğer güvenlik açıklarından yararlanarak meşru bir kullanıcının fotoğrafını indirebilir, yazdırabilir ve cihazın kamerasını kandırarak güvenli bir alana erişim sağlamak için kullanabilir. Bu yöntemin elbette bazı sınırlamaları vardır. Örneğin basılı bir fotoğraf gerektirir ve sıcaklık algılamasının kapalı olması gerekir. Ancak yine de bu durum önemli bir potansiyel tehdit oluşturur." ifadelerini kullandı.
Keşfedilen güvenlik açıklarının etkisinin endişe verici derecede çeşitlilik gösterdiğini aktaran Kiguradze, "Öncelikle, saldırganlar çalınan biyometrik verileri dark web üzerinden satabilir ve etkilenen kişileri deepfake ve sofistike sosyal mühendislik saldırı risklerine maruz bırakabilir. Ayrıca, veri tabanını değiştirme yeteneği, erişim kontrol cihazlarının asıl amacını silah haline getirerek, potansiyel olarak kötü niyetli aktörler için kısıtlı alanlara erişim sağlar.
Son olarak, bazı güvenlik açıkları, diğer kurumsal ağlara gizlice sızmak için bir arka kapı yerleştirilmesini sağlayarak, siber casusluk veya sabotaj da dahil olmak üzere karmaşık saldırıların yürütülmesini kolaylaştırır. Tüm bu faktörler, söz konusu güvenlik açıklarının yamalanmasının ve cihazları kurumsal alanlarda kullananlar için cihazın güvenlik ayarlarının kapsamlı bir şekilde denetlenmesinin aciliyetinin altını çiziyor." açıklamasında bulundu.