Atom- und Chemieanlagen: Biometrische Scanner mit Schwachstellen

15. Juni 2024
| Keine Kommentare
B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Experten haben 24 Schwachstellen in den hybriden biometrischen Zugangsterminals des internationalen Herstellers ZKTeco gefunden. Die betroffenen Scanner werden vermehrt in Atom- und Chemieanlagen sowie Krankenhäusern eingesetzt. So neben dem unerlaubten Zugang auch der Diebstahl und Verkauf biometrischer Daten möglich.

Die Sicherheitslücken ermöglichen Unbefugten den Zugang zu geschützten Bereichen, den Diebstahl biometrischer Daten sowie die Platzierung einer Backdoor. Kaspersky hat die Schwachstellen vor ihrer Veröffentlichung proaktiv mit dem Hersteller geteilt; derzeit ist nicht bekannt, ob Patches zur Behebung der Sicherheitslücken bereitgestellt wurden.

Anzeige

Die betroffenen biometrischen Scanner von ZKTeco werden in vielen Bereichen eingesetzt – sowohl in herkömmlichen Büros als auch in Atom- und Chemieanlagen und in Krankenhäusern. Sie bieten Gesichtserkennung und QR-Code-Authentifizierung und können Tausende von Gesichtsvorlagen speichern. Durch die gefundenen Schwachstellen sind die Terminals anfällig für zahlreiche Angriffe.

„Physischer Bypass“ über gefälschten QR-Code

Die Schwachstelle CVE-2023-3938 ermöglicht Angreifern eine SQL-Injection durchzuführen, wodurch Schadcode in diejenigen Strings eingefügt wird, die an die Datenbank eines Terminals gesendet werden. Dadurch können Cyberkriminelle den QR-Code manipulieren, der für den Terminal-Zugang zu gesperrten Sicherheitsbereichen verwendet wird, und sich so unerlaubten Zutritt verschaffen. Verarbeitet das Terminal eine Anfrage, die einen solch schädlichen QR-Code enthält, identifiziert die Datenbank ihn fälschlicherweise als den Nutzer, der sich zuletzt legitim autorisiert hat. Enthält der gefälschte QR-Code stattdessen eine hohe Menge schädlicher Daten, startet sich das Gerät neu.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

„Neben der SQL-Injection der QR-Codes gibt es einen weiteren physischen Angriffsvektor“, kommentiert Georgy Kiguradze, Senior Application Security Specialist bei Kaspersky. „Erhalten unbefugte Dritte mit schädlichen Absichten Zugriff auf die Gerätedatenbank, können diese weitere Schwachstellen ausnutzen, um ein Foto eines autorisierten Nutzers herunterzuladen, dieses auszudrucken und zu nutzen, um die Gerätekamera zu täuschen und sich Zugang zu einem gesicherten Bereich zu verschaffen. Der Erfolg dieser Methode unterliegt zwar Einschränkungen wie dem Vorliegen eines ausgedruckten Fotos und einem ausgeschaltetem Wärmescanner, dennoch geht ein erhebliches Bedrohungspotenzial davon aus.“

Biometrischer Datendiebstahl und Backdoor-Einsatz

Über die Schwachstelle CVE-2023-3940 können beliebige Dateien ausgelesen werden. Missbraucht ein Angreifer diese Schwachstellen, erhält er Zugriff auf alle Dateien des Systems und kann diese extrahieren – einschließlich sensibler biometrischer Nutzerdaten und Passwort-Hashes, mit denen weitere Unternehmenszugänge kompromittiert werden können. Auf ähnliche Art ermöglicht CVE-2023-3942 Cyberkriminellen mit SQL-Injections sensible Nutzerdaten und Systeminformationen aus den Datenbanken von biometrischen Geräten abzugreifen.

Überdies können Bedrohungsakteure mithilfe der Schwachstelle CVE-2023-3941 die Datenbank biometrischer Lesegeräte verändern und dort ihre eigenen Daten, wie etwa Fotos, hochladen. Dadurch können Unbefugte beispielsweise nicht autorisierte Personen in die Datenbank aufnehmen, Drehkreuze oder Türen überwinden, ausführbare Dateien ersetzen oder eine Backdoor platzieren. Die Schwachstellengruppe entsteht durch die fehlerhafte Überprüfung von Nutzereingaben über mehrere Systemkomponenten hinweg.

Volle Kontrolle mit höchsten Privilegien möglich

Die erfolgreiche Ausnutzung zweier weiterer Gruppen neuer Schwachstellen – CVE-2023-3939 und CVE-2023-3943 – ermöglicht die Ausführung beliebiger Befehle oder Codes auf dem Gerät und gewährt dem Angreifer die volle Kontrolle mit den höchsten Privilegien. Auf diese Weise kann er den Betrieb des Geräts manipulieren, um Angriffe auf andere Netzwerkknoten zu starten und den Angriff auf eine breitere Unternehmensinfrastruktur auszuweiten. Dies ermöglicht die Manipulation des Gerätebetriebs, um Angriffe auf andere Netzwerkknoten zu starten und auf eine breitere Unternehmensinfrastruktur auszuweiten.

Mehr bei Kaspersky.com

 

Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/

 

Passende Artikel zum Thema

DragonForce: Wie sich ein Ransomware-Kartell seine Stellung sichert

Ransomware ist nicht nur ein Geschäft, es ist eine Szene. Hier kommt es nicht nur auf Kompetenz und Ressourcen an, ➡ Weiterlesen

Hackerangriff: Fluglinie Qantas verliert Kundendaten

Anfang Juli gab es einen Hackerangriff auf die australische Fluglinie Qantas. Wie das Unternehmen bestätigt, wurde eines ihrer Contact Center ➡ Weiterlesen

BSI warnt vor hochgefährlichen Schwachstellen in Ivanti EPM

Das BSI warnt vor hochgefährlichen Schwachstellen im Ivanti Endpoint Manager, der Endpoint Management Software zur zentralen Verwaltung von Benutzerprofilen und ➡ Weiterlesen

Social-Media-Anzeigen: Direktkontakt zur bösartigen KI

Recherche-Ergebnisse über die Angriffe einer vietnamesischen Hackergruppe zeigen ein neues Vorgehen: sie schalten Social-Media-Anzeigen für KI-Videogeneratoren, die allerdings zu gefährlichen ➡ Weiterlesen

Hacker & Spionage: Zulieferer der Bundeswehr im Fokus

Wie einige Medien und die Tagesschau berichten, steht die Bundeswehr und seine Zulieferer immer mehr im Fadenkreuz von Cyberattacken. Jüngst ➡ Weiterlesen

Kritische Schwachstelle in Linux-Tool sudo

Die kritische Sicherheitslücke CVE-2025-32463 betrifft das UNIX- und Linux-Werkzeug sudo und ermöglicht es lokalen, nicht privilegierten Be­nut­zern, Root-Rechte zu erlangen. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Tenable Nessus – Updates bereit

In Tenable Nessus wurden drei hochgefährliche Schwachstellen gefunden mit den CVSS-Werten 6.5, 7.8 und 8.4. Die neuen Updates verhindern Angriffe ➡ Weiterlesen

Versteckte Kommunikationsmodule in Wechselrichtern

Die aktuellen Berichte zu sicherheitskritischen Schwachstellen in chinesischen Wechselrichtern zeigen eindrücklich: Wir stehen vor einem umfassenden strukturellen Problem – und ➡ Weiterlesen

Short-News
, , , , ,