卡巴斯基最近对中国制造商中控科技生产的混合生物识别访问系统进行分析,发现了24个严重的安全漏洞。攻击者可以利用这些漏洞绕过身份验证、窃取生物识别数据,甚至部署恶意后门。
卡巴斯基表示:“通过向数据库添加随机用户数据或使用伪造的二维码,恶意攻击者可以轻松绕过验证过程并获得未经授权的访问权限。”他们补充说:“攻击者还可以窃取和泄露生物特征数据,远程操纵设备并部署后门。”
这家俄罗斯网络安全公司在对固件(版本ZAM170-NF-1.8.25-7354-Ver1.0.0)及其用于与设备通信的专有协议进行逆向工程后发现了这些缺陷。目前尚不清楚这些问题是否已被修补。
漏洞详情
这24个漏洞包括:
- 6个SQL注入
- 7个基于堆栈的缓冲区溢出
- 5个命令注入
- 4个任意文件写入
- 2个任意文件读取
以下是每种漏洞类型的简要说明:
- CVE-2023-3938(CVSS评分:4.6) – SQL注入漏洞,允许攻击者以数据库中的任何用户身份进行身份验证。
- CVE-2023-3939(CVSS评分:10.0) – 一组命令注入漏洞,允许以root权限执行任意操作系统命令。
- CVE-2023-3940(CVSS评分:7.5) – 任意文件读取漏洞,允许攻击者绕过安全检查并访问系统上的任何文件。
- CVE-2023-3941(CVSS评分:10.0) – 任意文件写入漏洞,允许攻击者以root权限写入系统上的任何文件。
- CVE-2023-3942(CVSS评分:7.5) – SQL注入漏洞,允许攻击者注入恶意SQL代码并执行未经授权的数据库操作。
- CVE-2023-3943(CVSS评分:10.0) – 基于堆栈的缓冲区溢出缺陷,允许攻击者执行任意代码。
安全研究员Georgy Kiguradze表示:“发现的漏洞影响范围非常广泛,令人担忧。攻击者可以在暗网上出售窃取的生物特征数据,使受影响的个人面临深度伪造和复杂的社会工程攻击的风险。”
此外,成功利用这些缺陷可使不法分子进入原本受限制的区域,甚至植入后门,进行网络间谍活动或破坏性攻击。
降低风险的建议
为了降低攻击风险,建议采取以下措施:
- 将生物识别读取器移至单独的网络段
- 使用强管理员密码
- 改进设备安全设置
- 尽量减少二维码的使用
- 保持系统处于最新状态
