Ci sono 24 vulnerabilità di sicurezza nei sistemi di accesso biometrici sviluppati da ZKTeco e utilizzati in settori critici fra cui impianti nucleari o chimici e ospedali. Le vulnerabilità sono state portate alla luce mediante una attività di Security Assessment condotta dagli esperti Kaspersky, che hanno immediatamente segnalato i problemi al produttore affinché potesse risolverli prima della divulgazione della ricerca.

Le falle sono raggruppate in sei categorie, monitorate con le sigle: CVE-2023-3938, CVE-2023-3939, CVE-2023-3940, CVE-2023-3941, CVE-2023-3942, CVE-2023-3943 e possono comportare gravi rischi per la sicurezza, tra cui il bypass fisico dei controlli di sicurezza, il furto di dati biometrici e l’implementazione di backdoor nei sistemi. Più nel dettaglio, delle 24 falle di sicurezza rilevate, 6 sono vulnerabilità SQL injection, 7 sono vulnerabilità di buffer overflow, 5 di command injection, 4 di scrittura di file arbitrari e 2 di lettura di file arbitrari.

Una delle vulnerabilità che desta le maggiori preoccupazioni è la CVE-2023-3938, che consente ai cybercriminali di eseguire un attacco di tipo SQL injection, con l’inserimento di codice dannoso nelle stringhe di codice inviate ai sistemi target. Gli attaccanti possono inserire dati specifici nel codice QR utilizzato per accedere alle aree riservate e, di conseguenza, ottenere un accesso non autorizzato a queste ultime.

Nel blog ufficiale sono messe in risalto, inoltre, le vulnerabilità CVE-2023-3940, che consentono a un potenziale attaccante di accedere a qualsiasi file del sistema e di esfiltrarlo. Tra questi vi sono i dati biometrici sensibili dell’utente e gli hash delle password, con i quali compromettere ulteriormente le credenziali aziendali.

Sfruttando la falla monitorata con la sigla CVE-2023-3941 i criminali informatici possono inoltre alterare da remoto il database di un lettore biometrico. Parliamo infatti di un insieme di vulnerabilità che prende origine da una verifica impropria dell’input dell’utente in più componenti di sistema e che permettono agli attaccanti di caricare i propri dati, come le foto, accreditandosi nel database come persone autorizzate.

Tutti i dettagli tecnici sono esposti al link indicato sono esposte anche le misure di correzione e mitigazione. Oltre all’aggiornamento firmware dove disponibile, gli esperti consigliano di isolare il lettore biometrico in un segmento di rete separato dal resto dell’infrastruttura, impostare password di amministrazione complesse, modificare le impostazioni predefinite e, ove possibile, ridurre al minimo l’uso della funzionalità QR-code.