Организации переходят на биометрическую аутентификацию для оптимизации пропускного режима, а также в качестве основного или дополнительного фактора аутентификации при входе в информационные системы предприятия. В такой роли биометрия действительно привлекательна — ее невозможно забыть, как пароль, потерять, как пропуск, и сложно подделать. Службе безопасности не надо администрировать забытые и утерянные карточки, а команде ИБ — придумывать системы OTP. Конечно, есть целый ряд «но», которые тоже нужно учесть, оценивая такие внедрения:
риски хранения и обработки биометрической информации (во многих странах регулируется законодательно, например, в РФ недавно введен 572-ФЗ);
практические затруднения, связанные с ложноположительными и ложноотрицательными срабатываниями (сильно зависят от вида биометрии и условий ее проверки);
риски обхода аутентификации;
риски кибератак, проводимых при помощи уязвимостей в биометрическом терминале.
Первые два пункта ответственные за безопасность обычно прорабатывают, а вот остальные часто недооценивают. Они далеко не надуманны, как показало наше подробное исследование популярных биометрических терминалов производства ZKTeco. В них нашлось 24 уязвимости, позволяющих атакующим тривиально обойти аутентификацию, захватить устройство, прочитать или изменить список пользователей, скачать их фото и другие данные, а также эксплуатировать доступ к устройству для развития атаки на сеть предприятия. Вот как злоумышленники могут использовать эти уязвимости.
Оглавление
QR-код вместо лица
Изученная нашими экспертами модель биометрического терминала способна локально хранить базу пользователей и аутентифицировать их одним из нескольких способов: пароль, QR-код, биометрия по фото лица и электронный пропуск. Как выяснилось, если предъявить камере QR-код, содержащий тривиальную SQL-инъекцию, устройство посчитает аутентификацию успешной и откроет двери. Если же зашить в QR-код слишком много данных, то терминал уходит в перезагрузку. Для проведения этих атак достаточно подойти к терминалу с телефоном или даже бумажной карточкой.
Небезопасный сетевой доступ
Управление терминалом можно осуществлять локально, а также по сети, при помощи SSH или проприетарного сетевого протокола на TCP-порту 4370. Протокол требует аутентификации, однако эта процедура реализована с серьезными ошибками. Пароль является целым числом от 0 до 999999 и подвержен тривиальному перебору, а его значение по умолчанию, конечно же, ноль. Протокол подписи сообщений (MAC) использует обратимые операции, поэтому несложно анализировать сетевой трафик и при необходимости восстановить пароль через него. Доступ по SSH возможен для пользователей root и zkteco, пароль для которых удалось восстановить после доступа к памяти устройства.
Захват устройства
Производителем предусмотрены дистанционный доступ к данным пользователей, скачивание их фотографий, загрузка новых пользователей и так далее. С учетом небезопасной реализации фирменного протокола это создает риски утечки персональных данных, включая биометрические. Также атакующие могут вносить в базу нужных людей и исключать легитимных сотрудников.
Но ошибки в обработке протокольных команд позволяют злоумышленнику добиться и большего. Можно внедрять в команды по обработке изображений системные команды Unix-оболочки, а также читать произвольные системные файлы на терминале, вплоть до /etc/shadow, содержащего пароли.
А уязвимости переполнения буфера в команде по обновлению прошивки позволяют выполнять на устройстве произвольный код. Это создает для злоумышленников интересные возможности по расширению присутствия в сети. Поскольку на биометрическом терминале не будет ни агента EDR, ни других средств защиты, то он хорошо подходит для разведывательных операций и маршрутизации трафика между захваченными компьютерами — если, конечно, сам терминал подключен к внутренней сети без дополнительных ограничений.
Как снизить риски атаки с биометрических терминалов
Устройства ZKTeco под разными названиями используют во многих странах мира. Если вид устройств на иллюстрации знаком вам по вашему офису, стоит обновить прошивки, а также детально изучить настройки, чтобы сменить их на более безопасные. Но различные дефекты и недочеты в биометрических терминалах нужно брать в расчет, вне зависимости от конкретного производителя. Мы рекомендуем:
тщательно выбирать поставщика биометрических терминалов. Проводить предварительный анализ ранее известных уязвимостей в его оборудовании и скорости их устранения. Запросить информацию о применяемых поставщиком методах разработки, предпочитать производителей, использующих безопасный цикл разработки (SDL). Запросить подробное описание способов хранения информации, включая биометрическую;
глубоко изучить настройки оборудования и использовать их максимально безопасную конфигурацию. Рекомендуется отключить ненужные и небезопасные методы аутентификации, неиспользуемые сервисы и возможности. Заменить все стандартные учетные данные, установив сложные и уникальные пароли для всех администраторов и пользователей биометрического терминала;
физически заблокировать ненужные разъемы и интерфейсы на терминале, чтобы исключить дополнительные векторы атаки;
включить терминалы в процессы управления обновлениями и уязвимостями;
обеспечить сетевую изоляцию. Если терминал подключен к локальной сети и связан с управляющим сервером, рекомендуется вынести их в отдельную физическую или виртуальную подсеть (VLAN), чтобы доступ к терминалам с обычных компьютеров и серверов и, наоборот, доступ к серверам из биометрического терминала был невозможен. Для настройки доступа рекомендовано использовать изолированную от обычной сетевой активности администраторскую рабочую станцию (privileged access workstation);
рассматривать телеметрию с терминалов как один из источников информации в SIEM и других применяемых средствах мониторинга.
Блог Касперского