https://www.informationsecurity.com.tw/seminar/2024_infosec-gov/
https://www.informationsecurity.com.tw/seminar/2024_infosec-gov/

新聞

ZKTeco生物識別門禁系統曝嚴重漏洞風險隱患多

2024 / 06 / 17
編輯部
ZKTeco生物識別門禁系統曝嚴重漏洞風險隱患多
網絡安全公司卡巴斯基的一項分析發現,來自中國生物識別製造商ZKTeco(中控智慧)的一套混合生物識別門禁系統存在24個安全漏洞。這些漏洞可能被攻擊者利用來繞過認證、竊取生物識別資料,甚至部署惡意後門。
 
這24個漏洞包括SQL注入、緩衝區溢位、指令注入、任意文件寫入和任意文件讀取。以下是每種漏洞類型的簡要描述:
 
- CVE-2023-3938 (CVSS評分:4.6) - 在通過設備攝影機顯示QR碼時,由於傳遞包含引號的特製請求,存在SQL注入漏洞,使攻擊者可以作為資料庫中的任何用戶進行身份驗證。

- CVE-2023-3939 (CVSS評分:10.0) - 一組命令注入漏洞,允許以root特權執行任意操作系統命令。

- CVE-2023-3940 (CVSS評分:7.5) - 一組任意文件讀取漏洞,允許攻擊者繞過安全檢查,訪問系統上的任何文件,包括敏感用戶資料和系統設置。

- CVE-2023-3941 (CVSS評分:10.0) - 一組任意文件寫入漏洞,允許攻擊者以root特權寫入系統上的任何文件,包括修改用戶資料庫以添加惡意用戶。

- CVE-2023-3942 (CVSS評分:7.5) - 一組SQL注入漏洞,允許攻擊者注入惡意SQL代碼,執行未經授權的資料庫操作並竊取敏感資料。

- CVE-2023-3943 (CVSS評分:10.0) - 一組基於緩衝區溢位漏洞,允許攻擊者執行任意代碼。

安全研究員Georgy Kiguradze警告,這些漏洞可能會被用於深偽和社交工程攻擊,以及網絡間諜活動和破壞性攻擊。為減少攻擊風險,建議將生物識別讀取器使用隔離到單獨的網段,使用高強度的管理員密碼,改進設備安全設置,盡量減少使用QR碼,並保持系統更新。
 
本文轉載自The Hacker News