Biometrische terminals kwetsbaar voor SQL-injection in QR-code
Verschillende biometrische terminals van fabrikant ZkTeco, die onder verschillende namen worden aangeboden, bevatten een kwetsbaarheid waardoor een aanvaller via een malafide QR-code SQL-injection kan uitvoeren om zo als een geldige gebruiker in te loggen. Dat laat antivirusbedrijf Kaspersky weten dat het probleem ontdekte. Er lijken vooralsnog geen updates voor het probleem te zijn.
De biometrische terminals van ZkTeco, waaronder de ZkTeco ProFace X, Smartec ST-FR043 en Smartec ST-FR041ME, worden gebruikt voor het identificeren van personen. Dit wordt gedaan aan de hand van biometrische kenmerken, zoals vingerafdruk, stem, gezichtseigenschappen of iris. Onderzoekers van Kaspersky vonden in totaal 24 kwetsbaarheden in de apparatuur, waardoor een aanvaller die kan compromitteren.
Het meest opvallende beveiligingslek is CVE-2023-3938, waardoor SQL-injection mogelijk is. De biometrische terminal biedt ook de mogelijkheid om QR-codes te scannen. De onderzoekers vonden een manier hoe ze via een QR-code SQL-injection op de biometrische terminal kunnen uitvoeren. "De kwetsbare functie in de library gebruikt data van de QR-code als een string in de SQL-query om velden van de database op te vragen. Een aanvaller kan de SQL-code embedden en zo data van gebruikers uit de database halen en zich zo authenticeren", aldus de uitleg van het probleem.
Verder bleek dat bij het scannen van een QR-code met 1 KB aan data of meer het apparaat een 'emergency reboot' doet. Uit onderzoek naar de code van de biometrische terminal bleek dat QR-codes maximaal 20 bytes aan data mogen bevatten. Op de website van ZkTeco wordt geen melding van de kwetsbaarheden gemaakt. Kaspersky adviseert gebruikers om updates te installeren als die beschikbaar komen.
SQL injectie is al jaren bekend. Ook hoe je het tegen moet gaan.
Idem voor het overschreiden van de invoer limiet dat hierboven beschreven wordt.
Dat is hier toch niet im Frage? Hier gaat het om mensen die hun eigen QR code scannen en niet dat er op het apparaat een sticker met een QR code geplakt is (waar je dan een andere overheen kunt plakken).
Maar wel weer interessant dit. Nu SQL injection via een QR code. Ben benieuwd of andere systemen die QR codes scannen hier ook last van hebben. :P
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
