El proveedor chino de sistemas de acceso biométrico híbrido ZkTeco está bajo escrutinio luego de un informe de Kaspersky que revela varias vulnerabilidades nuevas en sus productos. En una publicación de blog del 11 de junio, los investigadores de Kaspersky Security Assessment revelaron que encontraron 24 vulnerabilidades en los lectores biométricos ZkTeco, que se utilizan en la construcción de sistemas de acceso en diferentes industrias, incluidas oficinas, hospitales y plantas nucleares y químicas. Algunas de estas fallas significan que un actor nefasto puede eludir fácilmente el proceso de verificación y obtener acceso no autorizado agregando datos de usuario aleatorios a la base de datos o usando un código QR falso. Los atacantes también pueden robar y filtrar datos biométricos, manipular dispositivos de forma remota y desplegar puertas traseras. Inyecciones SQL y lectura de archivos arbitrarios Una de las vulnerabilidades recientemente descubiertas, rastreada como CVE-2023-3938, permite a los ciberdelincuentes realizar una inyección SQL, que implica insertar código malicioso en cadenas enviadas a la base de datos de una terminal. Los atacantes pueden inyectar datos específicos en el código QR para acceder a áreas restringidas. En consecuencia, pueden acceder no autorizados al terminal y acceder físicamente a las zonas restringidas. Además, CVE-2023-3940 implica fallas en un componente de software que permite la lectura arbitraria de archivos. La explotación de estas vulnerabilidades otorga a un atacante potencial acceso a cualquier archivo del sistema y le permite extraerlo. Esto incluye datos biométricos confidenciales de usuario y hashes de contraseñas para comprometer aún más las credenciales corporativas. De manera similar, CVE-2023-3942 proporciona otra forma de recuperar información confidencial del sistema y del usuario de las bases de datos de los dispositivos de biometría: mediante ataques de inyección SQL. Inyección de datos y comandos Otras dos fallas descubiertas por Kaspersky, rastreadas como CVE-2023-3939 y CVE-2023-3943, permiten la ejecución de comandos o códigos arbitrarios en algunos dispositivos ZKTeco, otorgando al atacante un control total con el más alto nivel de privilegios. Esto permite al actor de amenazas manipular el funcionamiento del dispositivo, aprovechándolo para lanzar ataques a otros nodos de la red y expandir la ofensiva a través de una infraestructura corporativa más amplia. Finalmente, al explotar CVE-2023-3941, los actores de amenazas pueden cargar sus propios datos, como fotografías, agregando así personas no autorizadas a la base de datos. Esto podría permitirles pasar por alto torniquetes o puertas sin que nadie se dé cuenta. Otra característica crítica de esta vulnerabilidad es que permite a los perpetradores reemplazar archivos ejecutables, creando potencialmente una puerta trasera. Todas estas vulnerabilidades afectan a dispositivos OEM basados ​​en ZkTeco, incluidos ZkTeco ProFace X, Smartec ST-FR043, Smartec ST-FR041ME equipados con ZAM170-NF-1.8.25-7354-Ver1.0.0 y posiblemente otros. Los investigadores de Kaspersky que encontraron estos defectos compartieron sus hallazgos con el fabricante chino antes de revelarlos al público. Su gravedad sigue siendo desconocida. No se han publicado parches al momento de escribir este artículo. Leer más: Por qué el código abierto puede ser la clave para abordar la dependencia excesiva de NVD