Awas, Ada 24 Kerentanan dalam Sistem Akses Biometrik Tiongkok

Teknogav.com – Sejumlah besar kerentanan pada terminal biometrik hybrid yang diproduksi produsen internasional ZKTeco berhasil diidentifikasi Kaspersky. Penjahat siber bisa lolos proses verifikasi dan mendapatkan akses secara tidak sah. Mereka dapat melakukannya hanya dengan menambahkan data pengguna secara acak ke database atau menggunakan kode QR palsu. Data biometrik juga bisa dicuri dan dibocorkan, lalu memanipulasi perangkat secara jarak jauh dan memanfaatkan backdoor. Risiko keamana akan dihadapi fasilitas dengan keamanan tinggi yang menggunakan perangkat rentan tersebut.

Para pakar Kaspersky Security Assesment berhasil menemukan kerentanan selama penelitian terhadap perangkat lunak dan perangkat keras perangkat label putih ZKTeco. Seluruh temuan telah dibagi kepada produsen secara proaktif sebelum diungkap kepada publik.

Pembaca biometrik dari ZKTeco banyak dipakai berbagai sektor, termasuk pabrik kimia, pembangkit nuklir, perkantoran dan rumah sakit. Perangkat ini mendukung pengenalan wajah dan autentikasi kode QR, serta kapasitas penyimpanan ribuan templat wajah. Sayangnya, kerentanan yang baru ditemukan membuat mereka rentan terhadap berbagai serangan. Kelemahan tersebut dikelompokkan Kaspersky berdasarkan patch yang diperlukan, dan mendaftarkannya di bawah CVE (Common Vulnerabilities and Exposures) tertentu.

Pemintasan fisik melalui kode QR palsu

Serangan yang dikenal sebagai injeksi SQL dapat dilancarkan dengan mengeksploitasi kerentanan CVE-2023-3938. Metode serangan ini dilakukan dengan menyisipkan kode berbahaya ke dalam string yang dikirim ke basis data terminal. Data tertentu dapat dimasukkan penjahat siber ke dalam kode QR yang digunakan untuk mengakses area terlarang. Hasil serangan ini memungkinkan penjahat siber memperoleh akses tidak sah ke terminal dan secara fisik mengakses area terlarang.

Ketika terminal memproses permintaan yang berisi jenis kode QR berbahaya ini, basis data secara keliru mengidentifikasinya sebagai permintaan yang berasal dari pengguna sah yang terakhir diberi otorisasi. Jika kode QR palsu berisi data berbahaya dalam jumlah berlebihan, alih-alih memberikan akses, perangkat akan melakukan restart.

“Selain penggantian kode QR, ada lagi vektor serangan fisik yang menarik. Jika seseorang dengan niat jahat mendapatkan akses ke database perangkat, mereka dapat mengeksploitasi kerentanan lain untuk mengunduh foto pengguna yang sah, mencetaknya, dan menggunakannya untuk menipu kamera perangkat agar mendapatkan akses ke area aman. Cara ini tentu saja mempunyai keterbatasan tertentu. Ini memerlukan foto yang dicetak, dan warmth detection yang harus dimatikan. Namun, hal ini masih menimbulkan potensi ancaman yang signifikan,” ucap Georgy Kiguradze, Spesialis Keamanan Aplikasi Senior di Kaspersky.

Pencurian data biometrik, penerapan backdoor, dan risiko lainnya

Pembacaan file secara tidak berwenang bisa dilakukan dengan mengeksploitasi kelemahan CVE-2023-3940 pada komponen perangkat lunak. Metode ini membuka akses ke segala file di sistem dan memungkinkan penjahat siber mengekstraknya. File yang bisa diakses termasuk data pengguna biometrik sensitif dan hash kata sandi untuk lebih membahayakan kredensial perusahaan. Cara lain mendapat informasi sensitif pengguna dan sistem dari database perangkat biometri adalah dengan kerentanan CVE-2023-3942 melalui serangan injeksi SQL.

Selain mengakses dan mencuri, pelaku ancaman juga bisa mengubah database pembaca biometrik dari jarak jauh dengan memanfaatkan CVE-2023-3941. Kelompok kerentanan ini berasal dari verifikasi input pengguna yang tidak tepat di beberapa komponen sistem. Kerentatnan ini dapat dieksploitasi penyerang untuk mengunggah data mereka sendiri, seperti foto, sehingga menambahkan individu yang tidak berwenang ke database. Hal ini memungkinkan penjahat siber menyusup dengan melewati gerbang putar (turnstiles) atau pintu. Fitur penting lain dari kerentanan ini memungkinkan pelaku mengganti file yang dapat dieksekusi, yang berpotensi menciptakan backdoor.

Eksekusi perintah atau kode arbitrer pada perangkat dapat dilakukan dengan mengeksploitasi kelompok kerentanan CVE-2023-3939 dan CVE-2023-3943. Eksploitasi kerentanan ini memberikan kendali penuh dengan tingkat hak istimewa tertinggi kepada penyerang sehingga dapat memanipulasi operasi perangkat. Pelaku pun dapat memanfaatkannya untuk melancarkan serangan terhadap node jaringan lain dan memperluas serangan ke seluruh infrastruktur perusahaan.

“Dampak dari kerentanan yang ditemukan sangat beragam. Penyerang dapat menjual data biometrik curian di dark web, sehingga individu terdampak mengalami peningkatan risiko serangan deepfake dan rekayasa sosial yang canggih. Selain itu, untuk mengubah database mempersenjatai tujuan awal perangkat kontrol akses, sehingga berpotensi memberikan akses ke area terlarang bagi pelaku kejahatan siber. Beberapa kerentanan juga memungkinkan penempatan backdoor untuk secara diam-diam menyusup ke jaringan perusahaan lain, sehingga memfasilitasi pengembangan serangan canggih, termasuk spionase siber atau sabotase. Semua faktor ini menekankan pentingnya menambal kerentanan ini dan mengaudit secara menyeluruh pengaturan keamanan perangkat bagi mereka yang menggunakannya di perusahaan,” papar Georgy Kiguradze.

Saat informasi kerentanan ini dipublikasikan, belum ada informasi apakah ada perilisan patch.

Tips Menangkal Serangan Siber

Kaspersky memberikan beberapa tips berikut ini untuk mencegah serangan siber selain memasang patch:

Pisahkan penggunaan pembaca biometrik ke dalam segmen jaringan terpisah.
Gunakan kata sandi administrator yang kuat, ubah kata sandi default.
Audit dan perkuat pengaturan keamanan perangkat, perkuat default yang lemah. Pertimbangkan untuk mengaktifkan atau menambahkan deteksi suhu untuk menghindari otorisasi menggunakan foto acak.
Kurangi penggunaan fungsi kode QR, jika memungkinkan.
Perbarui firmware secara rutin.

Demikianlah beberapa tips dari Kaspersky agar senantiasa terhindar dari serangan yang mengeksploitasi kerentanan dari sistem akses biometrik.