Biometrische terminals kwetsbaar voor SQL-injection in QR-code
Verschillende biometrische terminals van fabrikant ZkTeco, die onder verschillende namen worden aangeboden, bevatten een kwetsbaarheid waardoor een aanvaller via een malafide QR-code SQL-injection kan uitvoeren om zo als een geldige gebruiker in te loggen. Dat laat antivirusbedrijf Kaspersky weten dat het probleem ontdekte. Er lijken vooralsnog geen updates voor het probleem te zijn.
De biometrische terminals van ZkTeco, waaronder de ZkTeco ProFace X, Smartec ST-FR043 en Smartec ST-FR041ME, worden gebruikt voor het identificeren van personen. Dit wordt gedaan aan de hand van biometrische kenmerken, zoals vingerafdruk, stem, gezichtseigenschappen of iris. Onderzoekers van Kaspersky vonden in totaal 24 kwetsbaarheden in de apparatuur, waardoor een aanvaller die kan compromitteren.
Het meest opvallende beveiligingslek is CVE-2023-3938, waardoor SQL-injection mogelijk is. De biometrische terminal biedt ook de mogelijkheid om QR-codes te scannen. De onderzoekers vonden een manier hoe ze via een QR-code SQL-injection op de biometrische terminal kunnen uitvoeren. "De kwetsbare functie in de library gebruikt data van de QR-code als een string in de SQL-query om velden van de database op te vragen. Een aanvaller kan de SQL-code embedden en zo data van gebruikers uit de database halen en zich zo authenticeren", aldus de uitleg van het probleem.
Verder bleek dat bij het scannen van een QR-code met 1 KB aan data of meer het apparaat een 'emergency reboot' doet. Uit onderzoek naar de code van de biometrische terminal bleek dat QR-codes maximaal 20 bytes aan data mogen bevatten. Op de website van ZkTeco wordt geen melding van de kwetsbaarheden gemaakt. Kaspersky adviseert gebruikers om updates te installeren als die beschikbaar komen.
SQL injectie is al jaren bekend. Ook hoe je het tegen moet gaan.
Idem voor het overschreiden van de invoer limiet dat hierboven beschreven wordt.
Dat is hier toch niet im Frage? Hier gaat het om mensen die hun eigen QR code scannen en niet dat er op het apparaat een sticker met een QR code geplakt is (waar je dan een andere overheen kunt plakken).
Maar wel weer interessant dit. Nu SQL injection via een QR code. Ben benieuwd of andere systemen die QR codes scannen hier ook last van hebben. :P
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!