Atom- und Chemieanlagen: Biometrische Scanner mit Schwachstellen

B2B Cyber Security ShortNews

Beitrag teilen

Experten haben 24 Schwachstellen in den hybriden biometrischen Zugangsterminals des internationalen Herstellers ZKTeco gefunden. Die betroffenen Scanner werden vermehrt in Atom- und Chemieanlagen sowie Krankenhäusern eingesetzt. So neben dem unerlaubten Zugang auch der Diebstahl und Verkauf biometrischer Daten möglich.

Die Sicherheitslücken ermöglichen Unbefugten den Zugang zu geschützten Bereichen, den Diebstahl biometrischer Daten sowie die Platzierung einer Backdoor. Kaspersky hat die Schwachstellen vor ihrer Veröffentlichung proaktiv mit dem Hersteller geteilt; derzeit ist nicht bekannt, ob Patches zur Behebung der Sicherheitslücken bereitgestellt wurden.

Die betroffenen biometrischen Scanner von ZKTeco werden in vielen Bereichen eingesetzt – sowohl in herkömmlichen Büros als auch in Atom- und Chemieanlagen und in Krankenhäusern. Sie bieten Gesichtserkennung und QR-Code-Authentifizierung und können Tausende von Gesichtsvorlagen speichern. Durch die gefundenen Schwachstellen sind die Terminals anfällig für zahlreiche Angriffe.

„Physischer Bypass“ über gefälschten QR-Code

Die Schwachstelle CVE-2023-3938 ermöglicht Angreifern eine SQL-Injection durchzuführen, wodurch Schadcode in diejenigen Strings eingefügt wird, die an die Datenbank eines Terminals gesendet werden. Dadurch können Cyberkriminelle den QR-Code manipulieren, der für den Terminal-Zugang zu gesperrten Sicherheitsbereichen verwendet wird, und sich so unerlaubten Zutritt verschaffen. Verarbeitet das Terminal eine Anfrage, die einen solch schädlichen QR-Code enthält, identifiziert die Datenbank ihn fälschlicherweise als den Nutzer, der sich zuletzt legitim autorisiert hat. Enthält der gefälschte QR-Code stattdessen eine hohe Menge schädlicher Daten, startet sich das Gerät neu.

„Neben der SQL-Injection der QR-Codes gibt es einen weiteren physischen Angriffsvektor“, kommentiert Georgy Kiguradze, Senior Application Security Specialist bei Kaspersky. „Erhalten unbefugte Dritte mit schädlichen Absichten Zugriff auf die Gerätedatenbank, können diese weitere Schwachstellen ausnutzen, um ein Foto eines autorisierten Nutzers herunterzuladen, dieses auszudrucken und zu nutzen, um die Gerätekamera zu täuschen und sich Zugang zu einem gesicherten Bereich zu verschaffen. Der Erfolg dieser Methode unterliegt zwar Einschränkungen wie dem Vorliegen eines ausgedruckten Fotos und einem ausgeschaltetem Wärmescanner, dennoch geht ein erhebliches Bedrohungspotenzial davon aus.“

Biometrischer Datendiebstahl und Backdoor-Einsatz

Über die Schwachstelle CVE-2023-3940 können beliebige Dateien ausgelesen werden. Missbraucht ein Angreifer diese Schwachstellen, erhält er Zugriff auf alle Dateien des Systems und kann diese extrahieren – einschließlich sensibler biometrischer Nutzerdaten und Passwort-Hashes, mit denen weitere Unternehmenszugänge kompromittiert werden können. Auf ähnliche Art ermöglicht CVE-2023-3942 Cyberkriminellen mit SQL-Injections sensible Nutzerdaten und Systeminformationen aus den Datenbanken von biometrischen Geräten abzugreifen.

Überdies können Bedrohungsakteure mithilfe der Schwachstelle CVE-2023-3941 die Datenbank biometrischer Lesegeräte verändern und dort ihre eigenen Daten, wie etwa Fotos, hochladen. Dadurch können Unbefugte beispielsweise nicht autorisierte Personen in die Datenbank aufnehmen, Drehkreuze oder Türen überwinden, ausführbare Dateien ersetzen oder eine Backdoor platzieren. Die Schwachstellengruppe entsteht durch die fehlerhafte Überprüfung von Nutzereingaben über mehrere Systemkomponenten hinweg.

Volle Kontrolle mit höchsten Privilegien möglich

Die erfolgreiche Ausnutzung zweier weiterer Gruppen neuer Schwachstellen – CVE-2023-3939 und CVE-2023-3943 – ermöglicht die Ausführung beliebiger Befehle oder Codes auf dem Gerät und gewährt dem Angreifer die volle Kontrolle mit den höchsten Privilegien. Auf diese Weise kann er den Betrieb des Geräts manipulieren, um Angriffe auf andere Netzwerkknoten zu starten und den Angriff auf eine breitere Unternehmensinfrastruktur auszuweiten. Dies ermöglicht die Manipulation des Gerätebetriebs, um Angriffe auf andere Netzwerkknoten zu starten und auf eine breitere Unternehmensinfrastruktur auszuweiten.

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Bitterfeld: Ransomware-Attacke kostete 2,5 Millionen Euro

Der Cyberangriff mit Ransomware auf den Landkreis Bitterfeld vor drei Jahren zeigt die unbequeme Wahrheit: es dauerte Jahre die IT ➡ Weiterlesen

Neue Ransomware-Variante Fog entdeckt

Über die Bedrohungsakteure der neuen Ransomware-Variante namens Fog ist noch nicht viel bekannt. Bisher sind nur US-Amerikanische Organisationen davon betroffen ➡ Weiterlesen

Europol: Fast 600 kriminelle Cobalt Strike-Server ausgeschaltet

Alte und unlizenzierte Versionen von Cobalt Strike, das eigentlich legitime Testtool von Pentestern und Red-Teams, sind in den Händen von ➡ Weiterlesen

Cyber Resilience Act verbietet Geräte mit bekannten Schwachstellen

Der Cyber Resilience Act (CRA) soll in der zweiten Hälfte 2024 in Kraft treten. Es verbietet Herstellern in der EU, ➡ Weiterlesen

Kinsing-Malware – Millionen Angriffe täglich

Seit 2019 ist Kinsing-Malware, die insbesondere Cloud-Native-Infrastrukturen angreift, ständig auf dem Vormarsch. Eine neue Studie stellt Angriffstechniken und -taktiken der ➡ Weiterlesen

Komplexe IT-Sicherheit: 450 Endgeräte – 3 IT-Mitarbeiter

Viele Unternehmen verwenden mehrere Sicherheitslösungen gleichzeitig. Das führt zu einer hohen Komplexität. Malwarebytes hat in einer internationalen Umfrage 50 Unternehmen ➡ Weiterlesen

Microsoft schickt Kunden Warnung per E-Mail die wie Spam aussieht

Nach der Attacke von Midnight Blizzard im Januar warnte nun Microsoft seine Kunden im Juni per Erklärungs-E-Mail. Dumm nur, dass ➡ Weiterlesen

Telegram: 361 Millionen Nutzerdaten geleakt

Cyberkriminelle haben Millionen von E-Mail-Adressen sowie Benutzernamen und Passwörter von Online-Konten in Kanälen des Messenger-Dienstes Telegram veröffentlicht, so der Betreiber ➡ Weiterlesen