Berdasarkan identifikasi Kaspersky telah ditemui banyak kerentanan pada terminal biometrik hybrid yang diproduksi oleh produsen internasional ZKTeco.
Dengan menambahkan data pengguna secara acak ke database atau menggunakan kode QR palsu, penjahat siber dapat dengan mudah melewati proses verifikasi dan mendapatkan akses tidak sah. Mereka juga dapat mencuri dan membocorkan data biometrik, memanipulasi perangkat dari jarak jauh, dan memanfaatkan backdoor. Fasilitas dengan keamanan tinggi di seluruh dunia akan menghadapi risiko keamanan jika mereka menggunakan perangkat rentan ini.
Kerentanan ini ditemukan selama penelitian para ahli Kaspersky Security Assessment terhadap perangkat lunak dan perangkat keras perangkat label putih ZKTeco. Semua temuan secara proaktif dibagikan kepada produsen sebelum diungkapkan kepada publik.
Pembaca biometrik (biometric reader)yang dimaksud banyak digunakan di berbagai sektor – mulai dari pabrik nuklir atau kimia hingga perkantoran dan rumah sakit. Perangkat ini mendukung pengenalan wajah dan otentikasi kode QR, serta kapasitas untuk menyimpan ribuan templat wajah. Namun, kerentanan yang baru ditemukan membuat mereka rentan terhadap berbagai serangan. Kaspersky mengelompokkan kelemahan berdasarkan patch yang diperlukan, dan mendaftarkannya di bawah CVE (Common Vulnerabilities and Exposures) tertentu.
Bypass fisik melalui kode QR palsu
Kerentanan CVE-2023-3938 memungkinkan penjahat siber melakukan serangan yang dikenal sebagai injeksi SQL, yang melibatkan penyisipan kode berbahaya ke dalam string yang dikirim ke basis data terminal. Penyerang dapat memasukkan data tertentu ke dalam kode QR yang digunakan untuk mengakses area terlarang. Akibatnya, mereka dapat memperoleh akses tidak sah ke terminal dan secara fisik mengakses area terlarang.
Ketika terminal memproses permintaan yang berisi jenis kode QR berbahaya ini, basis data secara keliru mengidentifikasinya sebagai permintaan yang berasal dari pengguna sah yang terakhir diberi otorisasi. Jika kode QR palsu berisi data berbahaya dalam jumlah berlebihan, alih-alih memberikan akses, perangkat akan melakukan restart.
“Selain penggantian kode QR, ada lagi vektor serangan fisik yang menarik. Jika seseorang dengan niat jahat mendapatkan akses ke database perangkat, mereka dapat mengeksploitasi kerentanan lain untuk mengunduh foto pengguna yang sah, mencetaknya, dan menggunakannya untuk menipu kamera perangkat agar mendapatkan akses ke area aman. Cara ini tentu saja mempunyai keterbatasan tertentu. Ini memerlukan foto yang dicetak, dan warmth detection yang harus dimatikan. Namun, hal ini masih menimbulkan potensi ancaman yang signifikan,” kata Georgy Kiguradze, Spesialis Keamanan Aplikasi Senior di Kaspersky.
Pencurian data biometrik, penerapan backdoor, dan risiko lainnya
CVE-2023-3940 adalah kelemahan pada komponen perangkat lunak yang memungkinkan pembacaan file secara sewenang-wenang. Memanfaatkan kerentanan ini memberikan calon penyerang akses ke file apa pun di sistem dan memungkinkan mereka mengekstraknya. Hal ini mencakup data pengguna biometrik sensitif dan hash kata sandi untuk lebih membahayakan kredensial perusahaan. Demikian pula, CVE-2023-3942 menyediakan cara lain untuk mengambil informasi sensitif pengguna dan sistem dari database perangkat biometri – melalui serangan injeksi SQL.
Pelaku ancaman tidak hanya dapat mengakses dan mencuri tetapi juga mengubah database pembaca biometrik dari jarak jauh dengan memanfaatkan CVE-2023-3941. Kelompok kerentanan ini berasal dari verifikasi input pengguna yang tidak tepat di beberapa komponen sistem.
Memanfaatkannya memungkinkan penyerang mengunggah data mereka sendiri, seperti foto, sehingga menambahkan individu yang tidak berwenang ke database. Hal ini memungkinkan mereka untuk diam-diam melewati gerbang putar (turnstiles) atau pintu. Fitur penting lainnya dari kerentanan ini memungkinkan pelaku untuk mengganti file yang dapat dieksekusi, yang berpotensi menciptakan backdoor.
Eksploitasi yang berhasil terhadap dua kelompok kelemahan baru lainnya – CVE-2023-3939 dan CVE-2023-3943 – memungkinkan eksekusi perintah atau kode arbitrer pada perangkat, memberikan penyerang kendali penuh dengan tingkat hak istimewa tertinggi. Hal ini memungkinkan pelaku ancaman untuk memanipulasi operasi perangkat, memanfaatkannya untuk melancarkan serangan terhadap node jaringan lain dan memperluas serangan ke seluruh infrastruktur perusahaan yang lebih luas.
“Dampak dari kerentanan yang ditemukan sangat beragam. Pertama-tama, penyerang dapat menjual data biometrik curian di dark web, sehingga menjadikan individu terdampak mengalami peningkatan risiko serangan deepfake dan rekayasa sosial yang canggih. Selain itu, kemampuan untuk mengubah database mempersenjatai tujuan awal perangkat kontrol akses, sehingga berpotensi memberikan akses ke area terlarang bagi pelaku kejahatan siber.
Terakhir, beberapa kerentanan memungkinkan penempatan backdoor untuk secara diam-diam menyusup ke jaringan perusahaan lain, sehingga memfasilitasi pengembangan serangan canggih, termasuk spionase dunia maya atau sabotase. Semua faktor ini menggarisbawahi pentingnya menambal kerentanan ini dan mengaudit secara menyeluruh pengaturan keamanan perangkat bagi mereka yang menggunakannya di perusahaan,” jelas Georgy Kiguradze.
Pada saat informasi kerentanan dipublikasikan, Kaspersky tidak memiliki data yang dapat diakses mengenai apakah patch telah diterbitkan.
Untuk menggagalkan serangan siber terkait, selain menginstal patch, Kaspersky menyarankan untuk mengambil langkah-langkah berikut:
- Pisahkan penggunaan pembaca biometrik ke dalam segmen jaringan terpisah.
- Gunakan kata sandi administrator yang kuat, ubah kata sandi default.
- Mengaudit dan memperkuat pengaturan keamanan perangkat, memperkuat default yang lemah. Pertimbangkan untuk mengaktifkan atau menambahkan deteksi suhu untuk menghindari otorisasi menggunakan foto acak.
- Minimalkan penggunaan fungsi kode QR, jika memungkinkan.
- Perbarui firmware secara rutin.
