網絡安全公司卡巴斯基的一項分析發現,來自中國生物識別製造商ZKTeco(中控智慧)的一套混合生物識別門禁系統存在24個安全漏洞。這些漏洞可能被攻擊者利用來繞過認證、竊取生物識別資料,甚至部署惡意後門。
這24個漏洞包括SQL注入、緩衝區溢位、指令注入、任意文件寫入和任意文件讀取。以下是每種漏洞類型的簡要描述:
- CVE-2023-3938 (CVSS評分:4.6) - 在通過設備攝影機顯示QR碼時,由於傳遞包含引號的特製請求,存在SQL注入漏洞,使攻擊者可以作為資料庫中的任何用戶進行身份驗證。
- CVE-2023-3939 (CVSS評分:10.0) - 一組命令注入漏洞,允許以root特權執行任意操作系統命令。
- CVE-2023-3940 (CVSS評分:7.5) - 一組任意文件讀取漏洞,允許攻擊者繞過安全檢查,訪問系統上的任何文件,包括敏感用戶資料和系統設置。
- CVE-2023-3941 (CVSS評分:10.0) - 一組任意文件寫入漏洞,允許攻擊者以root特權寫入系統上的任何文件,包括修改用戶資料庫以添加惡意用戶。
- CVE-2023-3942 (CVSS評分:7.5) - 一組SQL注入漏洞,允許攻擊者注入惡意SQL代碼,執行未經授權的資料庫操作並竊取敏感資料。
- CVE-2023-3943 (CVSS評分:10.0) - 一組基於緩衝區溢位漏洞,允許攻擊者執行任意代碼。
安全研究員Georgy Kiguradze警告,這些漏洞可能會被用於深偽和社交工程攻擊,以及網絡間諜活動和破壞性攻擊。為減少攻擊風險,建議將生物識別讀取器使用隔離到單獨的網段,使用高強度的管理員密碼,改進設備安全設置,盡量減少使用QR碼,並保持系統更新。
本文轉載自The Hacker News