Kaspersky Ungkap 24 Kerentanan pada Sistem Akses Biometrik di China

BeritaNasional.com - Kaspersky telah mengidentifikasi 24 kerentanan pada terminal biometrik hybrid yang diproduksi oleh ZKTeco, produsen internasional asal China.

Kerentanan ini memungkinkan penjahat siber untuk menambahkan data pengguna secara acak ke dalam database atau menggunakan kode QR palsu untuk melewati verifikasi, mendapatkan akses tidak sah, mencuri dan membocorkan data biometrik, serta memanipulasi perangkat dari jarak jauh melalui backdoor. Hal ini menimbulkan risiko besar bagi fasilitas dengan keamanan tinggi di seluruh dunia yang menggunakan perangkat ini.

Kerentanan ini ditemukan oleh para ahli Kaspersky Security Assessment selama penelitian terhadap perangkat lunak dan perangkat keras ZKTeco. Semua temuan tersebut telah dibagikan secara proaktif kepada produsen sebelum diungkapkan kepada publik.

Kerentanan Bypass Fisik melalui Kode QR Palsu

Salah satu kerentanan yang ditemukan, CVE-2023-3938, memungkinkan penyerang melakukan serangan injeksi SQL dengan menyisipkan kode berbahaya ke dalam string yang dikirim ke basis data terminal.

Dengan memasukkan data tertentu ke dalam kode QR yang digunakan untuk mengakses area terlarang, penyerang dapat memperoleh akses tidak sah ke terminal dan secara fisik memasuki area terlarang. Jika kode QR palsu berisi data berbahaya dalam jumlah besar, perangkat akan melakukan restart alih-alih memberikan akses.

"Selain penggunaan kode QR palsu, ada vektor serangan fisik lainnya. Jika seseorang dengan niat jahat mendapatkan akses ke database perangkat, mereka dapat mengeksploitasi kerentanan lain untuk mengunduh foto pengguna yang sah, mencetaknya, dan menggunakannya untuk menipu kamera perangkat agar mendapatkan akses ke area aman," kata Georgy Kiguradze, Spesialis Keamanan Aplikasi Senior di Kaspersky.

Pencurian Data Biometrik dan Penerapan Backdoor

Kerentanan lain, CVE-2023-3940, memungkinkan pembacaan file secara sewenang-wenang, memberikan calon penyerang akses ke file apa pun di sistem dan memungkinkan mereka mengekstraknya. Hal ini mencakup data pengguna biometrik sensitif dan hash kata sandi. CVE-2023-3942 menyediakan cara lain untuk mengambil informasi sensitif pengguna dan sistem dari database perangkat biometrik melalui serangan injeksi SQL.

Penyerang juga dapat mengakses dan mengubah database pembaca biometrik dari jarak jauh menggunakan CVE-2023-3941. Kelompok kerentanan ini berasal dari verifikasi input pengguna yang tidak tepat di beberapa komponen sistem, memungkinkan penyerang mengunggah data mereka sendiri dan menambahkan individu yang tidak berwenang ke database. Ini memungkinkan mereka untuk melewati gerbang putar atau pintu tanpa terdeteksi. Kerentanan ini juga memungkinkan pelaku untuk mengganti file yang dapat dieksekusi, berpotensi menciptakan backdoor.

Eksploitasi dua kelompok kelemahan lainnya, CVE-2023-3939 dan CVE-2023-3943, memungkinkan eksekusi perintah atau kode arbitrer pada perangkat, memberikan penyerang kendali penuh dengan tingkat hak istimewa tertinggi. Hal ini memungkinkan pelaku ancaman memanipulasi operasi perangkat dan melancarkan serangan terhadap node jaringan lainnya, memperluas serangan ke seluruh infrastruktur perusahaan.

"Dampak dari kerentanan yang ditemukan sangat beragam. Penyerang dapat menjual data biometrik curian di dark web, meningkatkan risiko serangan deepfake dan rekayasa sosial yang canggih. Selain itu, kemampuan untuk mengubah database berpotensi memberikan akses ke area terlarang bagi pelaku kejahatan siber. Beberapa kerentanan memungkinkan penempatan backdoor untuk menyusup ke jaringan perusahaan lain, memfasilitasi serangan canggih seperti spionase dunia maya atau sabotase. Semua ini menggarisbawahi pentingnya menambal kerentanan dan mengaudit pengaturan keamanan perangkat secara menyeluruh," jelas Georgy Kiguradze.

Pada saat informasi kerentanan dipublikasikan, Kaspersky tidak memiliki data yang dapat diakses mengenai apakah patch telah diterbitkan.

Langkah Pencegahan Serangan Siber

Untuk menggagalkan serangan siber terkait, selain menginstal patch, Kaspersky menyarankan langkah-langkah berikut: