buscando vulnerabilidades en una terminal biométrica / Sudo Null IT News
La semana pasada, los investigadores de Kaspersky Lab
un informe detallado sobre la búsqueda de vulnerabilidades en el terminal biométrico de la empresa ZKTeco. El terminal proporciona reconocimiento facial a los usuarios, pero también proporciona métodos de autenticación de respaldo: mediante un código PIN y mediante un código QR, que es escaneado por la cámara incorporada. El artículo describe en detalle el proceso típico de examinar un dispositivo para buscar vulnerabilidades de hardware y software, incluido el análisis de hardware, interfaces físicas y de red, y análisis de firmware. La lista de vulnerabilidades encontradas no es menos interesante: se descubrieron un total de 24. Los autores del trabajo llegan a la conclusión de que la tecnología avanzada se implementó de forma extremadamente insegura.
Además de las vulnerabilidades tradicionales, como una contraseña SSH cableada, seguridad faltante o fácilmente pirateable para las comunicaciones utilizando un protocolo de red propietario, se descubrió que el dispositivo ZKTeco llevaba a cabo un ataque utilizando un código QR “malicioso”. La ausencia de las comprobaciones necesarias de los datos introducidos por el usuario provoca un reinicio de emergencia del terminal biométrico o, lo que es mucho más interesante, permite la inyección de SQL y, por tanto, eludir el sistema de autenticación. Descripciones técnicas detalladas de cada vulnerabilidad.
en los repositorios de GitHub.
El terminal ZKTeco objeto de estudio queda así:
Y así es como se ve “hackear” este terminal usando un código QR preparado:
El código QR codifica una consulta a la base de datos. Debido a que hay poca o ninguna validación de la entrada del usuario, esta solicitud se realiza correctamente. Esto lleva a que el terminal “abra” el acceso sin problemas. Un análisis más detallado del firmware mostró que este método de ataque tiene una pequeña limitación: el tamaño de los datos procesados está limitado a 20 bytes:
Esto no permite inyecciones SQL complejas, pero en cualquier caso es posible eludir completamente el sistema de seguridad para el que, de hecho, está diseñado el terminal. Además, si “muestra” a un dispositivo un código QR con una gran cantidad de datos codificados (1 kilobyte o más), se leerá, pero provocará que el procesador se congele. La ausencia de respuesta de esta función se considera una situación de emergencia, lo que provoca un reinicio forzado del dispositivo. Además de esta vulnerabilidad encontrada con éxito, el estudio también muestra direcciones de búsqueda sin salida. Por ejemplo, conectarse a los pines de la interfaz serie en la placa, aunque permitió leer el registro de descarga, no ayudó a encontrar vulnerabilidades. El análisis de las interfaces de red reveló la capacidad de comunicarse con el dispositivo a través de SSH en un puerto no estándar, así como un protocolo de red propietario en el puerto TCP 4370. Esta información fue útil más adelante, después de analizar el firmware del dispositivo.
Logramos encontrar en Internet una actualización de firmware para una de las variantes de este terminal. Su análisis mostró que la actualización está cifrada, o mejor dicho, se ofusca fácilmente usando la función XOR, donde la clave son los últimos 16 bytes del archivo de actualización y su tamaño. Después del descifrado, resultó que la actualización no contiene el firmware completo del dispositivo, sino que se actualizan archivos individuales; Sin embargo, conseguimos extraer el firmware completo del chip de memoria flash del propio terminal. Y ahora el análisis del firmware ha revelado toda una serie de vulnerabilidades. En primer lugar, la contraseña para conectarse a través de la interfaz SSH resultó ser fija. Aunque esto no proporciona privilegios máximos en el dispositivo, iniciar sesión a través de SSH permitió el acceso a datos confidenciales. Se utiliza una contraseña separada para la autorización mediante el protocolo propietario (disponible en el puerto 4370), pero ni siquiera está configurada de forma predeterminada. Incluso si el operador del dispositivo ha cambiado esta contraseña, es un número entero de 0 a 999999 y se puede adivinar o leer fácilmente iniciando sesión a través de SSH.
Un análisis más detallado de los comandos disponibles a través de la interfaz de red patentada reveló otras vulnerabilidades. En particular, el comando CMD_DELETE_PICTURE implica enviar el nombre del archivo que debe eliminarse al dispositivo. Tampoco se verifica la exactitud de estos datos, pero el comando se ejecuta con privilegios del sistema. Como resultado, esto le permite obtener un control total sobre el dispositivo:
Allí también se descubrieron varias vulnerabilidades que provocaban desbordamientos del búfer y la posterior ejecución de código arbitrario, así como otro conjunto de posibles vulnerabilidades de inyección SQL. Finalmente, los investigadores simularon una situación en la que un dispositivo se conecta a un servidor de control malicioso, lo que posibilita una serie de escenarios de secuestro.
La mayoría de las vulnerabilidades descubiertas requieren la penetración en la red local (supuestamente) segura a la que está conectado el dispositivo. Naturalmente, excepto por el ataque del código QR. En teoría, el análisis de las vulnerabilidades en el firmware del dispositivo permitirá eludir el sistema de control de acceso donde está instalado dicho terminal. El resultado general del trabajo realizado es el siguiente: 6 inyecciones de SQL, 7 desbordamientos de búfer de pila, 5 inyecciones de comandos, 4 scripts para escribir archivos arbitrarios, 2 opciones para leer archivos arbitrarios.
¿Qué más pasó?
Otro
Los expertos de Kaspersky Lab analizan la seguridad del módem industrial Cinterion serie EHS5-E. Durante el estudio se descubrieron 7 vulnerabilidades en el dispositivo.
Microsoft decidió posponer el lanzamiento de la función Recall, previamente programado para el 18 de junio. La semana pasada hablamos en detalle sobre los problemas con la seguridad del historial completo de acciones del usuario en forma de capturas de pantalla y una base de datos con texto reconocido.
Interesante publicación demuestra cómo Copilot, el asistente de inteligencia artificial de Github, puede exponer datos confidenciales a un atacante. En este escenario, el atacante coloca código en el desarrollador víctima, que luego analiza utilizando Copilot. Llamar a Copilot dentro del código da como resultado una solicitud al servidor web del atacante con datos sobre el historial de comunicación de la víctima con el asistente de IA. La vulnerabilidad se cerró a principios de junio.
Vulnerabilidad crítica cerrado en varios enrutadores domésticos Asus populares, incluidos RT-AX88U, RT-AX58U, RT-AX57 y otros. El problema tiene una puntuación CVSS cercana al máximo de 9,8 y le permite omitir el sistema de autenticación del dispositivo. Para los dispositivos afectados, se recomienda descargar e instalar el firmware más reciente: en abril se lanzó un parche para esta vulnerabilidad.
En el último conjunto de parches de Microsoft cerrado 49 vulnerabilidades. Entre ellos es bastante serio. problemas en Windows 10/11, lo que puede provocar la ejecución remota de código debido a un error en el controlador de los módulos Wi-Fi. La calificación CVSS para esta vulnerabilidad es 8,8, pero el atacante debe estar cerca de la víctima para explotarla.
Edición 404media informes sobre el hackeo de la infraestructura de Tile, un desarrollador de etiquetas geográficas. Sin embargo, el pirata informático no obtuvo acceso directo a los datos del usuario, incluidas las coordenadas de los dispositivos del cliente.
Google cerrado una serie de vulnerabilidades en los dispositivos Pixel, incluido un problema crítico de día cero.
