reklam
reklam
DOLAR
EURO
STERLIN
FRANG
ALTIN
BITCOIN
reklam

Kaspersky, Çin biyometrik erişim sistemlerinde 24 güvenlik açığı buldu

Kaspersky, milletlerarası üretici ZKTeco tarafından üretilen hibrit biyometrik terminalde çok sayıda kusur tespit etti.

Yayınlanma Tarihi : Google News
Kaspersky, Çin biyometrik erişim sistemlerinde 24 güvenlik açığı buldu
reklam

Bu sayede makûs niyetli bir saldırgan, data tabanına rastgele kullanıcı dataları ekleyerek yahut düzmece bir QR kodu kullanarak doğrulama sürecini kolay kolay atlatabilir ve yetkisiz erişim elde edebilir.

Saldırganlar ayrıyeten biyometrik bilgileri çalıp sızdırabilir, aygıtları uzaktan manipüle edebilir ve art kapılar yerleştirebilir. Bu, kelam konusu aygıtı kullanan dünya çapındaki yüksek güvenlikli tesisleri risk altında bırakan bir durum.

Bulunan kusurlar, Kaspersky Security Assessment uzmanlarının ZKTeco’nun beyaz etiketli aygıtlarının yazılım ve donanımına yönelik araştırmaları sırasında keşfedildi. Tüm bulgular, kamuya açıklanmadan evvel proaktif olarak üretici ile paylaşıldı.

Söz konusu biyometrik okuyucular, nükleer yahut kimyasal tesislerden ofislere ve hastanelere kadar farklı bölümlerde geçiş ve kimlik doğrulama için yaygın olarak kullanılıyor. Bu aygıtlar yüz tanıma ve QR-kod kimlik doğrulamasının yanı sıra binlerce yüz şablonunu saklama kapasitesine de sahip. Lakin yeni keşfedilen güvenlik açıkları aygıtları çeşitli ataklara maruz bırakıyor. Kaspersky, açıkları gerekli yamalara nazaran gruplandırdı ve bunları belli CVE’ler (Ortak Güvenlik Açıkları ve Maruziyetler) altında kaydetti.

Sahte QR kodu aracılığıyla fizikî bypass

CVE-2023-3938 güvenlik açığı, siber hatalıların SQL enjeksiyonu olarak bilinen ve terminalin veritabanına gönderilen dizelere berbat hedefli kod eklemeyi içeren bir siber atak gerçekleştirmesine imkan tanır. Bu yolla saldırganlar, kısıtlı alanlara erişim için kullanılan QR koduna belli bilgileri enjekte edebilirler. Sonuç olarak terminale yetkisiz erişim elde edebilir ve kısıtlı alanlara fizikî olarak erişim sağlayabilirler.

Terminal bu çeşit makûs gayeli QR kodu içeren bir talebi işlediğinde, data tabanı bu talebi kazara en son yetkilendirilmiş yasal kullanıcıdan gelmiş üzere tanımlar. Düzmece QR kodu çok ölçüde makus gayeli bilgi içeriyorsa, erişim müsaadesi vermek yerine aygıt yine başlatılır.

Kaspersky Kıdemli Uygulama Güvenliği Uzmanı Georgy Kiguradze, “QR kodunu değiştirmenin yanı sıra, ilgi cazibeli öteki bir fizikî hücum vektörü daha var. Berbat niyetli birileri aygıtın bilgi tabanına erişim sağlarsa, öteki güvenlik açıklarından yararlanarak yasal bir kullanıcının fotoğrafını indirebilir, yazdırabilir ve aygıtın kamerasını kandırarak inançlı bir alana erişim sağlamak için kullanabilir. Bu tekniğin elbette birtakım sınırlamaları vardır. Örneğin basılı bir fotoğraf gerektirir ve sıcaklık algılamasının kapalı olması gerekir. Fakat tekrar de bu durum kıymetli bir potansiyel tehdit oluşturur” bilgisini paylaştı.

Biyometrik bilgi hırsızlığı, art kapı kullanımı ve öteki riskler

CVE-2023-3940, keyfi belge okumaya müsaade veren bir yazılım bileşenindeki kusurlara karşılık gelir. Bu güvenlik açıklarından faydalanmak, potansiyel saldırganın sistemdeki rastgele bir evraka erişmesini ve belgeyi ayıklamasını sağlar. Bu, kurumsal kimlik bilgilerini daha da tehlikeye atabilecek hassas biyometrik kullanıcı bilgilerini ve parola karmalarını içerir. Emsal şekilde CVE-2023-3942, SQL enjeksiyon atakları yoluyla biyometri aygıtlarının data tabanlarından hassas kullanıcı ve sistem bilgilerini almak için başka bir yol açar.

Tehdit aktörleri CVE-2023-3941’den faydalanarak biyometrik okuyucunun bilgi tabanına erişip çalmakla kalmayıp uzaktan değiştirebilirler. Bu güvenlik açığı kümesi, birden fazla sistem bileşeninde kullanıcı girdisinin yanlışlı olarak doğrulanmasından kaynaklanmaktadır. Bu açıktan faydalanmak, saldırganların fotoğraf üzere kendi datalarını yüklemelerine ve böylelikle bilgi tabanına yetkisiz bireyleri eklemelerine imkan tanır. Bu, saldırganların turnikeleri yahut kapıları gizlice atlamalarını sağlayabilir. Bu güvenlik açığının bir öbür kritik özelliği de faillerin çalıştırılabilir evrakları değiştirerek potansiyel olarak bir art kapı oluşturmalarını sağlamasıdır.

Diğer iki yeni kusur kümesinin (CVE-2023-3939 ve CVE-2023-3943) başarılı bir halde kullanılması, aygıt üzerinde keyfi komutların yahut kodların yürütülmesini sağlayarak saldırgana en üst seviye ayrıcalıklarla tam denetim verir. Bu, tehdit aktörünün aygıtın çalışma formunu manipüle etmesine, öbür ağ düğümlerine ataklar başlatmak ve saldırıyı daha geniş bir kurumsal altyapıya yaymak için kullanmasına imkan tanır.

Georgy Kiguradze, şunları ekledi: “Keşfedilen güvenlik açıklarının tesiri telaş verici derecede çeşitlilik gösteriyor. Öncelikle, saldırganlar çalınan biyometrik bilgileri dark web üzerinden satabilir ve etkilenen şahısları deepfake ve sofistike toplumsal mühendislik atak risklerine maruz bırakabilir. Ayrıyeten, bilgi tabanını değiştirme yeteneği, erişim denetim aygıtlarının asıl hedefini silah haline getirerek, potansiyel olarak makûs niyetli aktörler için kısıtlı alanlara erişim sağlar. Son olarak, kimi güvenlik açıkları, öbür kurumsal ağlara gizlice sızmak için bir art kapı yerleştirilmesini sağlayarak, siber casusluk yahut sabotaj da dahil olmak üzere karmaşık akınların yürütülmesini kolaylaştırır. Tüm bu faktörler, kelam konusu güvenlik açıklarının yamalanmasının ve aygıtları kurumsal alanlarda kullananlar için aygıtın güvenlik ayarlarının kapsamlı bir halde denetlenmesinin aciliyetinin altını çiziyor.” 

Güvenlik açığı bilgilerinin yayınlandığı sırada Kaspersky, yamaların yayınlanıp yayınlanmadığına dair erişilebilir datalara sahip değildi.

Kaspersky, ilgili siber taarruzları engellemek için gerekli yamaları yüklemenin yanı sıra aşağıdaki adımları öneriyor:

  • Biyometrik okuyucu kullanımını farklı bir ağ segmentinde izole edin.
  • Güçlü yönetici parolaları kullanın ve varsayılan parolaları değiştirin.
  • Zayıf varsayılan parolaları güçlendirerek aygıtın güvenlik ayarlarını denetleyin ve destekleyin. Rastgele bir fotoğraf kullanarak yetkilendirmeyi önlemek için sıcaklık algılama özelliğini etkinleştirmeyi yahut yoksa eklemeyi düşünün. 
  • Mümkünse QR kodu fonksiyonelliğinin kullanımını en aza indirin.
  • Aygıt yazılımını nizamlı olarak güncelleyin.

Kaynak: (BYZHA) Beyaz Haber Ajansı

reklam