外媒：卡巴斯基研究人员发现核电站使用的 ZKTeco 生物识别终端存在 24 个漏洞-安全客

卡巴斯基研究人员发现，ZKTeco 开发的生物识别终端存在广泛漏洞，这些终端已被广泛部署。威胁行为者可以利用这些漏洞绕过身份验证、窃取敏感数据，甚至完全控制受影响的终端。

这些漏洞构成重大风险，因为这些生物识别终端通常贴上白标，由多个分销商以各种品牌出售。它们还广泛用于高度安全/敏感的环境，如核电站、化工厂或医院，同时存储数千个面部模板。

ZKTeco 生物识别终端的漏洞
生物识别终端除了主要用来获取指纹、声音、面部特征或虹膜等生物特征数据外，还有多种用途。它们可以连接到其他扫描仪以支持替代身份验证方法，或被部署为确保员工工作效率或减少欺诈的一种手段。

这些设备在发电厂、行政套房或服务器机房等机密设施中的使用越来越广泛。ZKTeco 生物识别终端支持面部识别（能够存储数千个面部模板）、密码输入、电子通行证和二维码。

研究人员进行了多项测试来评估这些设备的安全性和可靠性，发现了24 种不同的漏洞，威胁行为者可能会在针对机密设施的真实攻击场景中利用这些漏洞：

6 个 SQL 注入漏洞
7 个缓冲区堆栈溢出漏洞
5 个命令注入漏洞
4 任意文件写入漏洞
2 任意文件读取漏洞

研究人员根据攻击类型对这些设备中存在的一些较严重的漏洞进行了分组：

通过伪造二维码进行物理绕过
CVE-2023-3938 允许网络犯罪分子通过将恶意代码注入访问字符串来执行 SQL 注入攻击。这可能使他们能够未经授权进入禁区。
生物特征数据窃取和后门部署
CVE-2023-3940 和 CVE-2023-3942 漏洞可能使攻击者能够访问设备上存储的敏感用户数据和密码哈希。此外，CVE-2023-3941 可能允许他们远程更改设备数据库，从而使他们有可能将未经授权的个人添加到系统中或创建后门。
远程代码执行
CVE-2023-3939 和 CVE-2023-3943 漏洞允许在设备上执行任意命令或代码，从而有效地让攻击者获得完全控制权并能够对更广泛的网络发起进一步攻击。

该网络安全公司的高级应用安全专家 Georgy Kiguradze 对这些漏洞在现实场景中带来的风险、深度伪造和社会工程策略带来的风险以及立即修补这些漏洞的紧迫性表示担忧。他表示：

“发现的漏洞影响范围广泛，令人担忧。首先，攻击者可以在暗网上出售窃取的生物特征数据，使受影响的个人面临深度伪造和复杂的社会工程攻击的风险。此外，修改数据库的能力使访问控制设备的原始用途成为武器，可能让不法分子进入禁区。最后，一些漏洞允许放置后门，秘密渗透其他企业网络，促进复杂攻击的发展，包括网络间谍或破坏。所有这些因素都凸显了修补这些漏洞和彻底审核在公司区域使用这些设备的人的设备安全设置的紧迫性。”

降低生物识别终端的风险
研究人员表示，他们已向 ZKTeco 披露了有关发现漏洞的所有信息，但缺乏有关这些漏洞是否已修补的可获取数据。

同时，研究人员还提出了以下建议，以保护这些生物识别终端免受攻击：