Những mối nguy hiểm tiềm ẩn của thiết bị xác thực sinh trắc học

Những mối nguy hiểm tiềm ẩn của thiết bị xác thực sinh trắc học

Dựa trên phân tích của chúng tôi về các lỗ hổng ZKTeco, các chuyên gia bảo mật của Kaspersky đã phân tích các rủi ro liên quan đến xác thực sinh trắc học.

Những mối nguy hiểm tiềm ẩn của thiết bị xác thực sinh trắc học

Các tổ chức đang áp dụng xác thực sinh trắc học để tối ưu hóa kiểm soát truy cập và thêm yếu tố xác thực chính hoặc phụ để truy cập hệ thống thông tin của công ty. Sinh trắc học là công cụ hoàn hảo cho công việc: những dữ liệu đó không thể bị quên như mật khẩu hoặc bị mất như mật khẩu và rất khó giả mạo. Bộ phận bảo mật không còn phải xử lý thẻ bị thất lạc hoặc quên, đội ngũ bảo mật CNTT không cần phải sử dụng hệ thống OTP. Tuy nhiên, có một số điều “nhưng” cần cân nhắc khi đánh giá việc triển khai như vậy:

Rủi ro liên quan đến việc lưu trữ và xử lý thông tin sinh trắc học (được pháp luật nhiều nước quy định);

Những khó khăn thực tế liên quan đến dương tính giả và âm tính giả (phụ thuộc nhiều vào loại sinh trắc học và phương tiện xác minh);

Rủi ro bỏ qua xác thực;

Rủi ro tấn công mạng thông qua lỗ hổng trong thiết bị đầu cuối sinh trắc học.

Hai điểm đầu tiên thường được nhân viên an ninh che đậy, nhưng những điểm còn lại thường bị đánh giá thấp. Tuy nhiên, như nghiên cứu chuyên sâu của chúng tôi về các thiết bị đầu cuối sinh trắc học phổ biến của ZKTeco cho thấy, chúng không có nghĩa là xa vời. Các thiết bị đầu cuối này được phát hiện có chứa 24 lỗ hổng cho phép kẻ tấn công dễ dàng vượt qua xác thực, chiếm quyền điều khiển thiết bị, đọc hoặc sửa đổi danh sách người dùng, tải ảnh và dữ liệu khác của họ xuống, đồng thời khai thác quyền truy cập vào thiết bị để phát triển một cuộc tấn công vào mạng công ty. . Đây là cách kẻ tấn công có thể sử dụng các lỗ hổng này.

Mã QR thay vì khuôn mặt

Mô hình thiết bị đầu cuối sinh trắc học được các chuyên gia của chúng tôi nghiên cứu có thể lưu trữ cơ sở dữ liệu người dùng cục bộ và xác thực họ theo một trong nhiều cách: mật khẩu, mã QR, sinh trắc học ảnh khuôn mặt hoặc thẻ điện tử. Hóa ra, chỉ cần quét mã QR có chứa phần chèn SQL thông thường là đủ để xác thực xác thực trên thiết bị và mở cửa. Và nếu có quá nhiều dữ liệu được nhúng vào mã QR, thiết bị đầu cuối sẽ khởi động lại. Để thực hiện các cuộc tấn công này, kẻ tấn công chỉ cần tiếp cận thiết bị bằng điện thoại hoặc thậm chí là thẻ giấy.

Truy cập mạng không an toàn

Thiết bị đầu cuối có thể được quản lý cục bộ hoặc qua mạng bằng SSH hoặc giao thức mạng độc quyền sử dụng cổng TCP 4370. Giao thức này yêu cầu xác thực nhưng việc triển khai quy trình có chứa các lỗi nghiêm trọng. Mật khẩu là một số nguyên từ 0 đến 999999, rất dễ bị tấn công và giá trị mặc định của nó tất nhiên là bằng 0. Mã xác thực tin nhắn (MAC) sử dụng các hoạt động có thể đảo ngược, giúp dễ dàng phân tích lưu lượng truy cập mạng và nếu cần, khôi phục mật khẩu thông qua nó. Quyền truy cập SSH khả dụng cho người dùng root và zkteco có mật khẩu có thể được khôi phục thông qua truy cập bộ nhớ thiết bị.

Chiếm quyền điều khiển thiết bị

Nhà sản xuất cung cấp khả năng truy cập dữ liệu người dùng từ xa, tải ảnh xuống, tải người dùng mới lên, v.v. Do việc triển khai giao thức độc quyền không an toàn, điều này tạo ra nguy cơ rò rỉ dữ liệu cá nhân, bao gồm cả sinh trắc học. Những kẻ đe dọa cũng có thể thêm các bên thứ ba vào cơ sở dữ liệu và loại trừ những nhân viên hợp pháp.

Trên hết, các lỗi trong quá trình xử lý các lệnh giao thức thậm chí còn mang lại cho kẻ tấn công nhiều tùy chọn hơn, chẳng hạn như đưa các lệnh hệ thống shell Unix vào các lệnh xử lý hình ảnh và đọc các tệp hệ thống tùy ý trên thiết bị đầu cuối, ngay đến /etc/shadow chứa mật khẩu.

Hơn nữa, lỗ hổng tràn bộ đệm trong lệnh cập nhật chương trình cơ sở cho phép thực thi mã tùy ý trên thiết bị. Điều này tạo ra cơ hội hấp dẫn cho những kẻ tấn công mở rộng sự hiện diện của chúng trên mạng. Vì thiết bị đầu cuối sinh trắc học sẽ không có tác nhân EDR hoặc các công cụ bảo mật khác nên nó rất phù hợp cho các hoạt động trinh sát và định tuyến lưu lượng giữa các thiết bị bị xâm nhập — tất nhiên là nếu bản thân thiết bị đầu cuối được kết nối với mạng nội bộ mà không có hạn chế bổ sung.

Cách giảm thiểu rủi ro bị tấn công thông qua thiết bị đầu cuối sinh trắc học

Các thiết bị ZKTeco được sử dụng trên toàn thế giới dưới nhiều tên thương hiệu khác nhau. Nếu các thiết bị trong hình minh họa trông giống như các thiết bị trong văn phòng của bạn thì bạn nên cập nhật chương trình cơ sở và xem xét kỹ lưỡng các cài đặt để chúng an toàn hơn. Dù bằng cách nào, các sai sót khác nhau trong thiết bị đầu cuối sinh trắc học cần phải được tính đến bất kể nhà sản xuất cụ thể. Chúng tôi đề xuất các biện pháp sau:

Chọn nhà cung cấp thiết bị đầu cuối sinh trắc học một cách cẩn thận. Tiến hành phân tích sơ bộ các lỗ hổng đã biết trước đó trong thiết bị của mình và thời gian cần thiết để loại bỏ chúng. Yêu cầu thông tin về thực tiễn kỹ thuật phần mềm của nhà cung cấp, ưu tiên các nhà sản xuất sử dụng vòng đời phát triển an toàn (SDL). Đồng thời yêu cầu mô tả chi tiết về cách lưu trữ thông tin, bao gồm cả sinh trắc học.

Nắm vững cài đặt thiết bị và sử dụng cấu hình an toàn nhất. Chúng tôi khuyên bạn nên tắt các phương thức xác thực không cần thiết và không an toàn cũng như các dịch vụ và tính năng không sử dụng. Thay đổi tất cả thông tin xác thực mặc định thành mật khẩu mạnh và duy nhất cho tất cả người dùng và quản trị viên thiết bị đầu cuối sinh trắc học.

Chặn vật lý các đầu nối và giao diện không cần thiết trên thiết bị đầu cuối để loại bỏ các vectơ tấn công nhất định.

Bao gồm các thiết bị đầu cuối trong quá trình cập nhật và quản lý lỗ hổng.

Cô lập mạng. Nếu thiết bị đầu cuối được kết nối với mạng cục bộ và được liên kết với máy chủ quản lý, chúng tôi khuyên bạn nên chuyển chúng sang mạng con vật lý hoặc ảo (VLAN) riêng biệt để loại trừ quyền truy cập vào thiết bị đầu cuối từ máy tính và máy chủ thông thường và ngược lại. Để định cấu hình quyền truy cập, chúng tôi khuyên bạn nên sử dụng máy trạm truy cập đặc quyền tách biệt khỏi hoạt động mạng thông thường.

Hãy coi việc đo từ xa từ các thiết bị đầu cuối như một nguồn thông tin cho hệ thống SIEM và các công cụ giám sát được triển khai khác.

Hương – Theo Kaspersky

Tin liên quan:

Standard Post with Image

Kaspersky hướng dẫn cách hạn chế rủi ro khi sử dụng Wi-Fi công cộng

Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng tại quán cà phê, sân bay hoặc xuyên suốt kỳ nghỉ...

Chi tiết
Standard Post with Image

Kaspersky nhận định tình trạng lây nhiễm trong các doanh nghiệp SMB đang gia tăng do sự trỗi dậy của các cuộc tấn công vào Micro

Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã tăng 5% trong quý I năm 2024, so với cùng kỳ năm...

Chi tiết
Standard Post with Image

TeamViewer phát hiện vi phạm bảo mật trong môi trường CNTT doanh nghiệp

TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ của công ty vào ngày 26 tháng 6 năm 2024.

Chi tiết