Os investigadores da Kaspersky divulgaram a sua descoberta de 24 vulnerabilidades em sistemas de acesso biométrico chineses utilizados em instalações de alta segurança, incluindo centrais nucleares e hospitais.

>>>Clique aqui para ler mais sobre cybersecurity

Como funcionam as vulnerabilidades

Os terminais biométricos, produzidos pelo fabricante internacional ZKTeco, suportam reconhecimento facial e autenticação por código QR. Ao adicionar dados aleatórios do usuário ao banco de dados do sistema ou usar um código QR falso, um agente nefasto pode facilmente contornar o processo de verificação e obter acesso não autorizado. Os invasores também podem roubar e vazar dados biométricos, manipular dispositivos remotamente e implantar backdoors.

Uma vulnerabilidade, CVE-2023-3938, permite que os cibercriminosos executem injeção de SQL, inserindo código malicioso em strings enviadas ao banco de dados de um terminal. Os invasores podem injetar dados específicos no código QR utilizado para acessar áreas restritas, obtendo, consequentemente, acesso não autorizado.

Ao explorar outra falha, a CVE-2023-3941, os agentes da ameaça podem não apenas acessar e roubar, mas também alterar remotamente o banco de dados de um leitor biométrico. Este grupo de vulnerabilidades origina-se da verificação inadequada da entrada do usuário em vários componentes do sistema. A exploração permite que os invasores carreguem seus próprios dados, como fotos, adicionando assim indivíduos não autorizados ao banco de dados.

Mais detalhes

Detalhes sobre as outras vulnerabilidades estão incluídos no comunicado de imprensa aqui e no Securelist.

Imagem: Freepik

English Version

Kaspersky researchers are sharing their discovery of 24 vulnerabilities in Chinese biometric access systems used in high-security facilities including nuclear plants and hospitals.

The biometric terminals, produced by international manufacturer ZKTeco, support face recognition and QR-code authentication. A nefarious actor can easily bypass the verification process and gain unauthorized access by adding random user data to the system’s database or using a fake QR code. Attackers can also steal and leak biometric data, remotely manipulate devices, and deploy backdoors.

One vulnerability, CVE-2023-3938, allows cybercriminals to perform SQL injection, inserting malicious code into strings sent to a terminal’s database. Attackers can inject specific data into the QR code used to access restricted areas, consequently gaining unauthorized access.

By exploiting another flaw, CVE-2023-3941, threat actors can not only access and steal but also remotely alter the database of a biometric reader. This group of vulnerabilities originates from improper user input verification across multiple system components. Exploiting it allows attackers to upload their own data, such as photos, thereby adding unauthorized individuals to the database.

The press release here and on Securelist includes details on the other vulnerabilities.