Internacional. Kaspersky ha identificado numerosos fallos en el terminal biométrico híbrido producido por el fabricante internacional ZKTeco. Al agregar datos de usuario aleatorios a la base de datos o usar un código QR falso, un actor puede eludir el proceso de verificación y obtener acceso no autorizado.
La compañía indicó que los atacantes también pueden robar y filtrar datos biométricos, manipular dispositivos de forma remota y desplegar puertas traseras. Las instalaciones de alta seguridad en todo el mundo corren riesgo si utilizan este dispositivo vulnerable.
Los fallos se descubrieron durante una investigación de los expertos de Kaspersky Security Assessment sobre el software y el hardware de los dispositivos de marca blanca de ZKTeco. Todos los hallazgos se compartieron de manera proactiva con el fabricante antes de su divulgación pública.
Los lectores biométricos en cuestión se utilizan ampliamente en áreas de diversos sectores, desde plantas nucleares o químicas hasta oficinas y hospitales. Estos dispositivos admiten reconocimiento facial y autenticación de códigos QR, además de la capacidad de almacenar miles de plantillas faciales. Sin embargo, las vulnerabilidades recién descubiertas los exponen a varios ataques. Kaspersky agrupó las fallas según los parches requeridos y las registró en CVE (vulnerabilidades y exposiciones comunes) específicas.
Bypass físico mediante un código QR falso
La vulnerabilidad CVE-2023-3938 permite a los ciberdelincuentes realizar un ciberataque conocido como inyección SQL, que consiste en insertar código malicioso en cadenas enviadas a la base de datos de una terminal. Los atacantes pueden inyectar datos específicos en el código QR utilizado para acceder a áreas restringidas. En consecuencia, pueden acceder no autorizados al terminal y acceder físicamente a las zonas restringidas.
Cuando el terminal procesa una solicitud que contiene este tipo de código QR malicioso, la base de datos lo identifica erróneamente como procedente del usuario legítimo autorizado más recientemente. Si el código QR falso contiene una cantidad excesiva de datos maliciosos, en lugar de otorgar acceso, el dispositivo se reinicia.
“Además de reemplazar el código QR, existe otro vector de ataque físico intrigante. Si alguien con intenciones maliciosas obtiene acceso a la base de datos del dispositivo, puede aprovechar otras vulnerabilidades para descargar la foto de un usuario legítimo, imprimirla y usarla para engañar a la cámara del dispositivo y obtener acceso a un área segura. Este método, por supuesto, tiene ciertas limitaciones. Requiere una fotografía impresa y la detección de calidez debe estar desactivada. Sin embargo, todavía representa una amenaza potencial importante”, afirma Georgy Kiguradze, especialista senior en Seguridad de Aplicaciones de Kaspersky.
Robo de datos biométricos, implementación de puertas traseras y otros riesgos
CVE-2023-3940 son fallas en un componente de software que permiten la lectura arbitraria de archivos. La explotación de estas vulnerabilidades otorga a un atacante potencial acceso a cualquier archivo del sistema y le permite extraerlo. Esto incluye datos biométricos confidenciales de usuario y hashes de contraseñas para comprometer aún más las credenciales corporativas. De manera similar, CVE-2023-3942 proporciona otra forma de recuperar información confidencial del sistema y del usuario de las bases de datos de los dispositivos de biometría: mediante ataques de inyección SQL.
Los actores de amenazas no solo pueden acceder y robar, sino también alterar de forma remota la base de datos de un lector biométrico explotando CVE-2023-3941 . Este grupo de vulnerabilidades se origina en una verificación inadecuada de la entrada del usuario en múltiples componentes del sistema. Explotarlo permite a los atacantes cargar sus propios datos, como fotografías, agregando así personas no autorizadas a la base de datos. Esto podría permitirles sortear sigilosamente torniquetes o puertas. Otra característica crítica de esta vulnerabilidad permite a los perpetradores reemplazar archivos ejecutables, creando potencialmente una puerta trasera.
La explotación exitosa de otros dos grupos de nuevas fallas (CVE-2023-3939 y CVE-2023-3943) permite la ejecución de comandos o códigos arbitrarios en el dispositivo, otorgando al atacante control total con el más alto nivel de privilegios. Esto permite al actor de amenazas manipular el funcionamiento del dispositivo, aprovechándolo para lanzar ataques a otros nodos de la red y expandir la ofensiva a través de una infraestructura corporativa más amplia.
“El impacto de las vulnerabilidades descubiertas es alarmantemente diverso. Para empezar, los atacantes pueden vender datos biométricos robados en la web oscura, sometiendo a las personas afectadas a mayores riesgos de ataques sofisticados y de ingeniería social. Además, la capacidad de alterar la base de datos convierte en un arma el propósito original de los dispositivos de control de acceso, otorgando potencialmente acceso a áreas restringidas a actores nefastos. Por último, algunas vulnerabilidades permiten la colocación de una puerta trasera para infiltrarse de forma encubierta en otras redes empresariales, facilitando el desarrollo de ataques sofisticados, incluido el ciberespionaje o el sabotaje. Todos estos factores subrayan la urgencia de corregir estas vulnerabilidades y auditar minuciosamente la configuración de seguridad del dispositivo para quienes los utilizan en áreas corporativas”, explica Georgy Kiguradze.
Al momento de publicar la información sobre la vulnerabilidad, Kaspersky carecía de datos accesibles sobre si se han emitido los parches. Para frustrar los ciberataques relacionados, además de instalar el parche, Kaspersky recomienda seguir los siguientes pasos:
- Aislar el uso del lector biométrico en un segmento de red separado.
- Emplee contraseñas de administrador sólidas y cambie las predeterminadas.
- Auditar y refuerce la configuración de seguridad del dispositivo, fortaleciendo los valores predeterminados débiles. Considere habilitar o agregar la detección de temperatura para evitar la autorización mediante una foto aleatoria.
- Minimice el uso de la funcionalidad de código QR, si es posible.
- Actualice el firmware periódicamente.
Deje su comentario