DOLAR 34,2768 0.01%
EURO 37,4558 -0.14%
ALTIN 2.920,80-0,25
BITCOIN %
İstanbul
18°

AÇIK

02:00

İMSAK'A KALAN SÜRE

adana haber - agrı haber - haber ajansı - akdag haber - akit tv haber - almanya haber - ana haber bülteni - news haber - ankara haber - arabistan haber - asayiş haber - spor haber - ataköy haber - avrupa gazetesi - avustralya haber - aybastı haber - azerbaycan haber - bağdat haber - bartın haber - başakşehir haber - basın bülten - batum haber - bayburt haber - beykent haber - bilişim haber - boomerang haber - çankırı haber - cnbc haber - cnn haber - dobra haber - doğuş gazetesi - dolunay haber - doruk haber - dünya haber merkezi - ermenistan haber - flash haber - fox haber - fox tv haber - fransa haber - gazete gündem - gaziantep haber - gaziantep haber - giresun haber - global bülten - gümüşhane haber - gümüşhane manşet/a> - gürcistan haber - haber28 haber - 365 haber - 365tv haber - haber60 haber - haber ajansı - haber aktif - best haber - birgün haber - objektif haber - haber özetleri - sizin haber - hakkari haber - hep haber - ığdır haber - ılgın haber - ingiltere haber - internet haber - iskenderun haber - istihbarat haber - kadının sesi haber - kanada haber - kanal24 haber - kanal7 haber - kanal a haber - kanal t haber - kapsam haber - karadeniz haber - karamürsel haber - kazakistan haber - kent haber - kıbrıs haber - kıbrıs tv haber - küçükçekmece haber - maçka haber - madtv haber - magazinpress haber - makedonia haber - malatya haber - megachannel haber - merkez ana haber - muş haber - olay tv haber - öncü haber - özbekistan haber - özgür haber - özlem haber - parti haber - pause haber - polis haber - samsun gazete haber - sandıklı haber - seçim haber - sendika haber - show haber - show tv haber - sivil haber - star tv haber - suriye haber - tatil haber - teşkilat haber - tokat gazete haber - trt1 haber - türkistan haber - tv5 haber - tvnet haber - ultra haber - ulusal bülten haber - ulusal kanal haber - vatan haber - uluslararası haber - yerel bülten haber - yeryüzü haber - zaman haber - adalet haber - adana gündem haber - alem haber - aliağa haber - amasya haber - anadolu manşet haber - ankara güncel haber - antalya haber - antep gazetesi haber - askeri haber - aydın haber - bağcılar haber - basın haber - beylikdüzü haber - beypazarı haber - beyşehir haber - bodrum haber - bomba haber - bozkır haber - cep haber - çeşme haber - denizli gündem haber - doğubeyazıt haber -elbistan haber - erzurum gündem haber - evrensel haber - evrim haber - gaziantep bülten haber - girişim haber - gölbaşı haber - 365 haber - 44 haber - 73 haber - 77 haber - aksiyon haber - arşiv haber - bir haber - channel haber - karadeniz haber - özet haber - port haber - sosyal haber - haber yazıyo - haber yelkeni - hemen haber - istanbul haber - istanbul son haber - kandıra haber - kars manşet haber - kayseri manşet haber - magazin tv haber - merzifon haber - nesil haber - news haber - onay haber - ordu manşet haber - şafak haber - samsun manşet haber - sarıyer haber - sarıyer son haber - sky haber - tarım haber - taşova haber - trabzon manşet haber - video haber - yükseliş haber - zafer haber - küre haber - haber - haber - anadolu haber - antakya haber - çarşamba haber - aksiyon haber - haber turu - ulusal haber - internet gazetesi haber - millet gazetesi haber" - moda haber -organik haber -smart haber -terme haber - zara haber
sponsor reklam
Kaspersky, Çin biyometrik erişim sistemlerinde 24 güvenlik açığı buldu
51 okunma

Kaspersky, Çin biyometrik erişim sistemlerinde 24 güvenlik açığı buldu

ABONE OL
15 Haziran 2024 12:03
Kaspersky, Çin biyometrik erişim sistemlerinde 24 güvenlik açığı buldu
0

BEĞENDİM

ABONE OL

Bu sayede kötü niyetli bir saldırgan, veri tabanına rastgele kullanıcı verileri ekleyerek veya sahte bir QR kodu kullanarak doğrulama sürecini kolayca atlatabilir ve yetkisiz erişim elde edebilir.

Saldırganlar ayrıca biyometrik verileri çalıp sızdırabilir, cihazları uzaktan manipüle edebilir ve arka kapılar yerleştirebilir. Bu, söz konusu cihazı kullanan dünya çapındaki yüksek güvenlikli tesisleri risk altında bırakan bir durum.

Bulunan kusurlar, Kaspersky Security Assessment uzmanlarının ZKTeco’nun beyaz etiketli cihazlarının yazılım ve donanımına yönelik araştırmaları sırasında keşfedildi. Tüm bulgular, kamuya açıklanmadan önce proaktif olarak üretici ile paylaşıldı.

Söz konusu biyometrik okuyucular, nükleer veya kimyasal tesislerden ofislere ve hastanelere kadar farklı sektörlerde geçiş ve kimlik doğrulama için yaygın olarak kullanılıyor. Bu cihazlar yüz tanıma ve QR-kod kimlik doğrulamasının yanı sıra binlerce yüz şablonunu saklama kapasitesine de sahip. Ancak yeni keşfedilen güvenlik açıkları cihazları çeşitli saldırılara maruz bırakıyor. Kaspersky, açıkları gerekli yamalara göre gruplandırdı ve bunları belirli CVE’ler (Ortak Güvenlik Açıkları ve Maruziyetler) altında kaydetti.

Sahte QR kodu aracılığıyla fiziksel bypass

CVE-2023-3938 güvenlik açığı, siber suçluların SQL enjeksiyonu olarak bilinen ve terminalin veritabanına gönderilen dizelere kötü amaçlı kod eklemeyi içeren bir siber saldırı gerçekleştirmesine olanak tanır. Bu yolla saldırganlar, kısıtlı alanlara erişim için kullanılan QR koduna belirli verileri enjekte edebilirler. Sonuç olarak terminale yetkisiz erişim elde edebilir ve kısıtlı alanlara fiziksel olarak erişim sağlayabilirler.

Terminal bu tür kötü amaçlı QR kodu içeren bir talebi işlediğinde, veri tabanı bu talebi yanlışlıkla en son yetkilendirilmiş meşru kullanıcıdan gelmiş gibi tanımlar. Sahte QR kodu aşırı miktarda kötü amaçlı veri içeriyorsa, erişim izni vermek yerine cihaz yeniden başlatılır.

Kaspersky Kıdemli Uygulama Güvenliği Uzmanı Georgy Kiguradze, “QR kodunu değiştirmenin yanı sıra, ilgi çekici başka bir fiziksel saldırı vektörü daha var. Kötü niyetli birileri cihazın veri tabanına erişim sağlarsa, diğer güvenlik açıklarından yararlanarak meşru bir kullanıcının fotoğrafını indirebilir, yazdırabilir ve cihazın kamerasını kandırarak güvenli bir alana erişim sağlamak için kullanabilir. Bu yöntemin elbette bazı sınırlamaları vardır. Örneğin basılı bir fotoğraf gerektirir ve sıcaklık algılamasının kapalı olması gerekir. Ancak yine de bu durum önemli bir potansiyel tehdit oluşturur” bilgisini paylaştı.

Biyometrik veri hırsızlığı, arka kapı kullanımı ve diğer riskler

CVE-2023-3940, keyfi dosya okumaya izin veren bir yazılım bileşenindeki kusurlara karşılık gelir. Bu güvenlik açıklarından faydalanmak, potansiyel saldırganın sistemdeki herhangi bir dosyaya erişmesini ve dosyayı ayıklamasını sağlar. Bu, kurumsal kimlik bilgilerini daha da tehlikeye atabilecek hassas biyometrik kullanıcı verilerini ve parola karmalarını içerir. Benzer şekilde CVE-2023-3942, SQL enjeksiyon saldırıları yoluyla biyometri cihazlarının veri tabanlarından hassas kullanıcı ve sistem bilgilerini almak için diğer bir yol açar.

Tehdit aktörleri CVE-2023-3941’den faydalanarak biyometrik okuyucunun veri tabanına erişip çalmakla kalmayıp uzaktan değiştirebilirler. Bu güvenlik açığı grubu, birden fazla sistem bileşeninde kullanıcı girdisinin hatalı olarak doğrulanmasından kaynaklanmaktadır. Bu açıktan faydalanmak, saldırganların fotoğraf gibi kendi verilerini yüklemelerine ve böylece veri tabanına yetkisiz kişileri eklemelerine olanak tanır. Bu, saldırganların turnikeleri veya kapıları gizlice atlamalarını sağlayabilir. Bu güvenlik açığının bir diğer kritik özelliği de faillerin çalıştırılabilir dosyaları değiştirerek potansiyel olarak bir arka kapı oluşturmalarını sağlamasıdır.

Diğer iki yeni hata grubunun (CVE-2023-3939 ve CVE-2023-3943) başarılı bir şekilde kullanılması, cihaz üzerinde keyfi komutların veya kodların yürütülmesini sağlayarak saldırgana en üst düzey ayrıcalıklarla tam kontrol verir. Bu, tehdit aktörünün cihazın çalışma şeklini manipüle etmesine, diğer ağ düğümlerine saldırılar başlatmak ve saldırıyı daha geniş bir kurumsal altyapıya yaymak için kullanmasına olanak tanır.

Georgy Kiguradze, şunları ekledi: “Keşfedilen güvenlik açıklarının etkisi endişe verici derecede çeşitlilik gösteriyor. Öncelikle, saldırganlar çalınan biyometrik verileri dark web üzerinden satabilir ve etkilenen kişileri deepfake ve sofistike sosyal mühendislik saldırı risklerine maruz bırakabilir. Ayrıca, veri tabanını değiştirme yeteneği, erişim kontrol cihazlarının asıl amacını silah haline getirerek, potansiyel olarak kötü niyetli aktörler için kısıtlı alanlara erişim sağlar. Son olarak, bazı güvenlik açıkları, diğer kurumsal ağlara gizlice sızmak için bir arka kapı yerleştirilmesini sağlayarak, siber casusluk veya sabotaj da dahil olmak üzere karmaşık saldırıların yürütülmesini kolaylaştırır. Tüm bu faktörler, söz konusu güvenlik açıklarının yamalanmasının ve cihazları kurumsal alanlarda kullananlar için cihazın güvenlik ayarlarının kapsamlı bir şekilde denetlenmesinin aciliyetinin altını çiziyor.” 

Güvenlik açığı bilgilerinin yayınlandığı sırada Kaspersky, yamaların yayınlanıp yayınlanmadığına dair erişilebilir verilere sahip değildi.

Kaspersky, ilgili siber saldırıları engellemek için gerekli yamaları yüklemenin yanı sıra aşağıdaki adımları öneriyor:

  • Biyometrik okuyucu kullanımını ayrı bir ağ segmentinde izole edin.
  • Güçlü yönetici parolaları kullanın ve varsayılan parolaları değiştirin.
  • Zayıf varsayılan parolaları güçlendirerek cihazın güvenlik ayarlarını denetleyin ve destekleyin. Rastgele bir fotoğraf kullanarak yetkilendirmeyi önlemek için sıcaklık algılama özelliğini etkinleştirmeyi veya yoksa eklemeyi düşünün. 
  • Mümkünse QR kodu işlevselliğinin kullanımını en aza indirin.
  • Aygıt yazılımını düzenli olarak güncelleyin.

Kaynak: (BYZHA) Beyaz Haber Ajansı

En az 10 karakter gerekli


HIZLI YORUM YAP
Full HD Film izleerzurum escortdedektifcasibomhukuk forumDeneme bonusu veren sitelereryaman escorterzurum escortankara escortİzmit EscortTrade Smart Güvenilirpubg mobile uceryaman escorterotik shopdeneme bonusuEsenyurt EscortDeneme bonusu veren sitelerboya badanadedicated serveryabancı porno
Dünya çapında bilinen tüm bahis siteleri ni bizim ayrıcalığımız ile keşfedin kullanıcılarına çeşitli deneme bonusları ve promosyonlar sunan firmaların listesi.
deneme bonusu veren siteler yeni kullanıcılar için cazip fırsatlar sunar. Bu bonuslar, kullanıcıların siteyi risksiz denemesine olanak tanır. Güvenilir bahis siteleri, deneme bonusları ile öne çıkar. Kullanıcılar, bu bonuslarla bedava bahis yaparak siteyi tanıyabilir.
deneme bonusu