Исследователи из «Лаборатории Касперского» выявили 24 уязвимости в популярных биометрических терминалах

Китайские популярные биометрические терминалы от ZKTeco, которые ставят на особо охраняемых объектах вроде АЭС и крупных предприятий, оказались очень уязвимыми к хакерским атакам. Злоумышленники могут использовать уязвимости, чтобы попасть внутрь комплекса, выкрасть или подменить биометрию сотрудников или же внедрить в инфраструктуру шпионскую программу. К такому выводу пришли исследователи из «Лаборатории Касперского»

В руки специалистов попал гибридный биометрический терминал производства компании ZKTeco. Он имеет различные названия в зависимости от того, какой дистрибьютор его распространяет. С внешним видом устройства можно ознакомиться на изображении ниже.

Суммарно было обнаружено 24 уязвимости:

  • 6 SQL-инъекций;
  • 7 переполнений буфера на стеке;
  • 5 инъекций команд;
  • 4 записи произвольных файлов;
  • 2 чтения произвольных файлов.

Многие из них оказались похожи друг на друга, потому что возникали из-за ошибки в одном месте внутри библиотеки, служащей «оберткой» для базы данных

Вот как злоумышленники могут использовать эти уязвимости:

QR-код вместо лица

Изученная модель биометрического терминала способна локально хранить базу пользователей и аутентифицировать их одним из нескольких способов: пароль, QR-код, биометрия по фото лица и электронный пропуск. Как выяснилось, если предъявить камере QR-код, содержащий SQL-инъекцию, устройство посчитает аутентификацию успешной и откроет двери. Если же зашить в QR-код слишком много данных, то терминал уходит в перезагрузку. Для проведения этих атак достаточно подойти к терминалу с телефоном или даже бумажной карточкой.

Небезопасный сетевой доступ

Управление терминалом можно осуществлять локально, а также по сети, при помощи SSH или проприетарного сетевого протокола на TCP-порту 4370. Протокол требует аутентификации, однако эта процедура реализована с серьезными ошибками. Пароль является целым числом от 0 до 999999 и подвержен обычному перебору, а его значение по умолчанию, конечно же, ноль. Протокол подписи сообщений (MAC) использует обратимые операции, поэтому несложно анализировать сетевой трафик и при необходимости восстановить пароль через него. Доступ по SSH возможен для пользователей root и zkteco, пароль для которых удалось восстановить после доступа к памяти устройства.

Захват устройства

Производителем предусмотрены дистанционный доступ к данным пользователей, скачивание их фотографий, загрузка новых пользователей и так далее. С учетом небезопасной реализации фирменного протокола это создает риски утечки персональных данных, включая биометрические. Также атакующие могут вносить в базу нужных людей и исключать легитимных сотрудников.
Но ошибки в обработке протокольных команд позволяют злоумышленнику добиться и большего. Можно внедрять в команды по обработке изображений системные команды Unix-оболочки, а также читать произвольные системные файлы на терминале, вплоть до /etc/shadow, содержащего пароли.
А уязвимости переполнения буфера в команде по обновлению прошивки позволяют выполнять на устройстве произвольный код. Это создает для злоумышленников интересные возможности по расширению присутствия в сети. Поскольку на биометрическом терминале не будет ни агента EDR, ни других средств защиты, то он хорошо подходит для разведывательных операций и маршрутизации трафика между захваченными компьютерами — если, конечно, сам терминал подключен к внутренней сети без дополнительных ограничений.

Как снизить риски атаки с биометрических терминалов

Устройства ZKTeco под разными названиями используют во многих странах мира. Если вид устройств на иллюстрации знаком вам по вашему офису, стоит обновить прошивки, а также детально изучить настройки, чтобы сменить их на более безопасные. Но различные дефекты и недочеты в биометрических терминалах нужно брать в расчет, вне зависимости от конкретного производителя. Эксперты ЛК рекомендуют:

  • тщательно выбирать поставщика биометрических терминалов. Проводить предварительный анализ ранее известных уязвимостей в его оборудовании и скорости их устранения. Запросить информацию о применяемых поставщиком методах разработки, предпочитать производителей, использующих безопасный цикл разработки (SDL). Запросить подробное описание способов хранения информации, включая биометрическую;
  • глубоко изучить настройки оборудования и использовать их максимально безопасную конфигурацию. Рекомендуется отключить ненужные и небезопасные методы аутентификации, неиспользуемые сервисы и возможности. Заменить все стандартные учетные данные, установив сложные и уникальные пароли для всех администраторов и пользователей биометрического терминала;
  • физически заблокировать ненужные разъемы и интерфейсы на терминале, чтобы исключить дополнительные векторы атаки;
  • включить терминалы в процессы управления обновлениями и уязвимостями;
  • обеспечить сетевую изоляцию. Если терминал подключен к локальной сети и связан с управляющим сервером, рекомендуется вынести их в отдельную физическую или виртуальную подсеть (VLAN), чтобы доступ к терминалам с обычных компьютеров и серверов и, наоборот, доступ к серверам из биометрического терминала был невозможен. Для настройки доступа рекомендовано использовать изолированную от обычной сетевой активности администраторскую рабочую станцию (privileged access workstation);
  • рассматривать телеметрию с терминалов как один из источников информации в SIEM и других применяемых средствах мониторинга.

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *