L’accesso biometrico è senza dubbio un’alternativa comoda alla password, ma non sempre è la più sicura. Kaspersky ha identificato numerose falle nel terminale biometrico ibrido sviluppato dal produttore internazionale ZKTeco. Inserendo nel database dati utente casuali o utilizzando un codice QR falso, un criminale può facilmente aggirare il processo di verifica e ottenere un accesso non autorizzato. Inoltre, gli aggressori possono rubare e divulgare i dati biometrici, manipolare i dispositivi da remoto e installare backdoor. Le infrastrutture ad alta sicurezza di tutto il mondo sono a rischio se utilizzano questo dispositivo vulnerabile.
Le falle sono state scoperte durante le analisi di Security Assessment, condotte dagli esperti Kaspersky, sul software e sull’hardware dei dispositivi white-label di ZKTeco. Tutti i risultati sono stati condivisi direttamente con il produttore prima di essere resi pubblici.
I lettori biometrici in questione sono ampiamente utilizzati in diversi settori, dagli impianti nucleari o chimici agli uffici e agli ospedali. Questi dispositivi supportano il riconoscimento del volto e l’autenticazione tramite codice QR, oltre alla capacità di memorizzare migliaia di modelli facciali, ma le vulnerabilità recentemente scoperte li espongono a vari attacchi. Kaspersky ha raggruppato le falle in base alle patch necessarie e le ha registrate sotto specifiche CVE (Common Vulnerabilities and Exposures).
ZKTeco: bypass fisico attraverso un falso codice QR
La vulnerabilità CVE-2023-3938 sui sistemi di accesso biometrico di ZKTeco consente ai cybercriminali di eseguire un attacco informatico noto come SQL injection, che prevede l’inserimento di codice dannoso nelle stringhe inviate al database di un terminale. Gli aggressori possono inserire dati specifici nel codice QR utilizzato per accedere alle aree riservate e, di conseguenza, possono ottenere un accesso non autorizzato al terminale per entrare fisicamente nelle aree riservate.
Quando il terminale elabora una richiesta contenente questo tipo di codice QR dannoso, il database la identifica erroneamente come proveniente dall’ultimo utente legittimo autorizzato. Se il codice QR falso contiene una quantità eccessiva di dati malevoli, invece di concedere l’accesso, il dispositivo si riavvia.
“Oltre alla sostituzione del codice QR, esiste un altro interessante vettore di attacco fisico. Se un malintenzionato riesce ad accedere al database del terminale, può sfruttare altre vulnerabilità per scaricare la foto di un utente legittimo, stamparla e usarla per ingannare la fotocamera e accedere a un’area protetta. Questo metodo, ovviamente, presenta alcune limitazioni. Richiede una foto stampata e il rilevamento del calore deve essere disattivato ma rappresenta comunque una potenziale minaccia significativa”, ha affermato Georgy Kiguradze, Senior Application Security Specialist di Kaspersky.
Furto di dati biometrici, implementazione di backdoor e altri pericoli
Le CVE-2023-3940 rilevate nei sistemi di ZKTeco, sono falle in un componente software che consentono la lettura di file in modo arbitrario. Lo sfruttamento di queste vulnerabilità consente a un potenziale aggressore di accedere a qualsiasi file del sistema e di esfiltrarlo. Tra questi vi sono i dati biometrici sensibili dell’utente e gli hash delle password per compromettere ulteriormente le credenziali aziendali. Analogamente, la CVE-2023-3942 permette di recuperare informazioni sensibili dell’utente e del sistema dai database dei dispositivi di biometria attraverso attacchi SQL injection.
Gli attori delle minacce possono non solo accedere e rubare, ma anche alterare da remoto il database di un lettore biometrico sfruttando la CVE-2023-3941. Questo insieme di vulnerabilità ha origine da una verifica impropria dell’input dell’utente in più componenti di sistema. Lo sfruttamento di questa vulnerabilità consente agli aggressori di caricare i propri dati, come le foto, aggiungendo così persone non autorizzate al database. Ciò potrebbe consentire loro di bypassare furtivamente i tornelli o le porte. Un’altra caratteristica critica di questa vulnerabilità permette di sostituire i file eseguibili, creando così una potenziale backdoor.
Lo sfruttamento riuscito di altri due gruppi di nuove falle – CVE-2023-3939 e CVE-2023-3943 – di ZKTeco, consente l’esecuzione di comandi o codici arbitrari sul dispositivo, garantendo all’aggressore il pieno controllo con il massimo livello di privilegi. Ciò consente al cybercriminale di modificare il funzionamento del dispositivo, sfruttandolo per lanciare attacchi ad altri nodi di rete ed espandere l’attacco a un’infrastruttura aziendale più ampia.
“L’impatto delle vulnerabilità scoperte sui sistemi di accesso biometrico di ZKTeco è allarmante. Per cominciare, gli aggressori possono vendere i dati biometrici rubati sul dark web, esponendo le vittime all’ulteriore rischio di deepfake e di sofisticati attacchi di social engineering. Inoltre, la possibilità di modificare il database vanifica lo scopo originario dei dispositivi di controllo degli accessi, consentendo potenzialmente l’accesso ad aree riservate ad attori malintenzionati. Infine, alcune vulnerabilità permettono di creare una backdoor per infiltrarsi di nascosto in altre reti aziendali, favorendo lo sviluppo di attacchi sofisticati, tra cui cyberspionaggio o sabotaggio. Tutti questi fattori sottolineano l’urgenza di correggere queste vulnerabilità e di verificare accuratamente le impostazioni di sicurezza dei dispositivi per chi li utilizza in aree aziendali”, ha aggiunto Georgy Kiguradze.
Al momento in cui sono state pubblicate le informazioni sulle vulnerabilità, Kaspersky non dispone di indicazioni relative al rilascio delle patch.
I consigli di Kaspersky
Per contrastare eventuali cyberattacchi correlati, oltre a installare le patch, Kaspersky consiglia di adottare le seguenti misure:
- Isolare l’uso del lettore biometrico in un segmento di rete separato.
- Utilizzare password di amministratore robuste, cambiando quelle predefinite.
- Verificare e rafforzare le impostazioni di sicurezza del dispositivo, modificando le impostazioni predefinite meno efficaci. Considerare l’attivazione o l’aggiunta del rilevamento della temperatura per evitare che l’autorizzazione sia data con una foto casuale.
- Ridurre al minimo l’uso della funzionalità QR-code, se possibile.
- Aggiornare regolarmente il firmware.
