Kaspersky, Çin biyometrik erişim sistemlerinde 24 güvenlik açığı buldu
Bu sayede kötü niyetli bir saldırgan, veri tabanına rastgele kullanıcı verileri ekleyerek veya sahte bir QR kodu kullanarak doğrulama sürecini kolayca atlatabilir ve yetkisiz erişim elde edebilir.
Saldırganlar ayrıca biyometrik verileri çalıp sızdırabilir, cihazları uzaktan manipüle edebilir ve arka kapılar yerleştirebilir. Bu, söz konusu cihazı kullanan dünya çapındaki yüksek güvenlikli tesisleri risk altında bırakan bir durum.
Bulunan kusurlar, Kaspersky Security Assessment uzmanlarının ZKTeco’nun beyaz etiketli cihazlarının yazılım ve donanımına yönelik araştırmaları sırasında keşfedildi. Tüm bulgular, kamuya açıklanmadan önce proaktif olarak üretici ile paylaşıldı.
Söz konusu biyometrik okuyucular, nükleer veya kimyasal tesislerden ofislere ve hastanelere kadar farklı sektörlerde geçiş ve kimlik doğrulama için yaygın olarak kullanılıyor. Bu cihazlar yüz tanıma ve QR-kod kimlik doğrulamasının yanı sıra binlerce yüz şablonunu saklama kapasitesine de sahip. Ancak yeni keşfedilen güvenlik açıkları cihazları çeşitli saldırılara maruz bırakıyor. Kaspersky, açıkları gerekli yamalara göre gruplandırdı ve bunları belirli CVE’ler (Ortak Güvenlik Açıkları ve Maruziyetler) altında kaydetti.
Sahte QR kodu aracılığıyla fiziksel bypass
CVE-2023-3938 güvenlik açığı, siber suçluların SQL enjeksiyonu olarak bilinen ve terminalin veritabanına gönderilen dizelere kötü amaçlı kod eklemeyi içeren bir siber saldırı gerçekleştirmesine olanak tanır. Bu yolla saldırganlar, kısıtlı alanlara erişim için kullanılan QR koduna belirli verileri enjekte edebilirler. Sonuç olarak terminale yetkisiz erişim elde edebilir ve kısıtlı alanlara fiziksel olarak erişim sağlayabilirler.
Terminal bu tür kötü amaçlı QR kodu içeren bir talebi işlediğinde, veri tabanı bu talebi yanlışlıkla en son yetkilendirilmiş meşru kullanıcıdan gelmiş gibi tanımlar. Sahte QR kodu aşırı miktarda kötü amaçlı veri içeriyorsa, erişim izni vermek yerine cihaz yeniden başlatılır.
Kaspersky Kıdemli Uygulama Güvenliği Uzmanı Georgy Kiguradze, “QR kodunu değiştirmenin yanı sıra, ilgi çekici başka bir fiziksel saldırı vektörü daha var. Kötü niyetli birileri cihazın veri tabanına erişim sağlarsa, diğer güvenlik açıklarından yararlanarak meşru bir kullanıcının fotoğrafını indirebilir, yazdırabilir ve cihazın kamerasını kandırarak güvenli bir alana erişim sağlamak için kullanabilir. Bu yöntemin elbette bazı sınırlamaları vardır. Örneğin basılı bir fotoğraf gerektirir ve sıcaklık algılamasının kapalı olması gerekir. Ancak yine de bu durum önemli bir potansiyel tehdit oluşturur” bilgisini paylaştı.
Biyometrik veri hırsızlığı, arka kapı kullanımı ve diğer riskler
CVE-2023-3940, keyfi dosya okumaya izin veren bir yazılım bileşenindeki kusurlara karşılık gelir. Bu güvenlik açıklarından faydalanmak, potansiyel saldırganın sistemdeki herhangi bir dosyaya erişmesini ve dosyayı ayıklamasını sağlar. Bu, kurumsal kimlik bilgilerini daha da tehlikeye atabilecek hassas biyometrik kullanıcı verilerini ve parola karmalarını içerir. Benzer şekilde CVE-2023-3942, SQL enjeksiyon saldırıları yoluyla biyometri cihazlarının veri tabanlarından hassas kullanıcı ve sistem bilgilerini almak için diğer bir yol açar.
Tehdit aktörleri CVE-2023-3941’den faydalanarak biyometrik okuyucunun veri tabanına erişip çalmakla kalmayıp uzaktan değiştirebilirler. Bu güvenlik açığı grubu, birden fazla sistem bileşeninde kullanıcı girdisinin hatalı olarak doğrulanmasından kaynaklanmaktadır. Bu açıktan faydalanmak, saldırganların fotoğraf gibi kendi verilerini yüklemelerine ve böylece veri tabanına yetkisiz kişileri eklemelerine olanak tanır. Bu, saldırganların turnikeleri veya kapıları gizlice atlamalarını sağlayabilir. Bu güvenlik açığının bir diğer kritik özelliği de faillerin çalıştırılabilir dosyaları değiştirerek potansiyel olarak bir arka kapı oluşturmalarını sağlamasıdır.
Diğer iki yeni hata grubunun (CVE-2023-3939 ve CVE-2023-3943) başarılı bir şekilde kullanılması, cihaz üzerinde keyfi komutların veya kodların yürütülmesini sağlayarak saldırgana en üst düzey ayrıcalıklarla tam kontrol verir. Bu, tehdit aktörünün cihazın çalışma şeklini manipüle etmesine, diğer ağ düğümlerine saldırılar başlatmak ve saldırıyı daha geniş bir kurumsal altyapıya yaymak için kullanmasına olanak tanır.
Georgy Kiguradze, şunları ekledi: “Keşfedilen güvenlik açıklarının etkisi endişe verici derecede çeşitlilik gösteriyor. Öncelikle, saldırganlar çalınan biyometrik verileri dark web üzerinden satabilir ve etkilenen kişileri deepfake ve sofistike sosyal mühendislik saldırı risklerine maruz bırakabilir. Ayrıca, veri tabanını değiştirme yeteneği, erişim kontrol cihazlarının asıl amacını silah haline getirerek, potansiyel olarak kötü niyetli aktörler için kısıtlı alanlara erişim sağlar. Son olarak, bazı güvenlik açıkları, diğer kurumsal ağlara gizlice sızmak için bir arka kapı yerleştirilmesini sağlayarak, siber casusluk veya sabotaj da dahil olmak üzere karmaşık saldırıların yürütülmesini kolaylaştırır. Tüm bu faktörler, söz konusu güvenlik açıklarının yamalanmasının ve cihazları kurumsal alanlarda kullananlar için cihazın güvenlik ayarlarının kapsamlı bir şekilde denetlenmesinin aciliyetinin altını çiziyor.”
Güvenlik açığı bilgilerinin yayınlandığı sırada Kaspersky, yamaların yayınlanıp yayınlanmadığına dair erişilebilir verilere sahip değildi.
Kaspersky, ilgili siber saldırıları engellemek için gerekli yamaları yüklemenin yanı sıra aşağıdaki adımları öneriyor:
- Biyometrik okuyucu kullanımını ayrı bir ağ segmentinde izole edin.
- Güçlü yönetici parolaları kullanın ve varsayılan parolaları değiştirin.
- Zayıf varsayılan parolaları güçlendirerek cihazın güvenlik ayarlarını denetleyin ve destekleyin. Rastgele bir fotoğraf kullanarak yetkilendirmeyi önlemek için sıcaklık algılama özelliğini etkinleştirmeyi veya yoksa eklemeyi düşünün.
- Mümkünse QR kodu işlevselliğinin kullanımını en aza indirin.
- Aygıt yazılımını düzenli olarak güncelleyin.
Kaynak: (BYZHA) Beyaz Haber Ajansı