您的指纹扫描仪安全吗？新研究发现ZKTeco生物识别访问系统存在24个漏洞。这使关键设施和企业面临一系列安全风险。了解如何保护自己免受未经授权的访问、数据盗窃和系统操纵。

卡巴斯基实验室的网络安全研究人员发现了中国主要供应商中控科技生产的生物识别门禁系统中存在24个漏洞。这些用于面部识别和入口控制的门禁系统容易受到各种恶意攻击，使敏感数据和物理安全面临风险。

卡巴斯基安全评估专家在中控科技的白标生物识别读取器中发现了多个漏洞，这些读取器支持人脸识别和二维码身份验证，包括六个SQL注入漏洞、七个缓冲区堆栈溢出漏洞、五个命令注入漏洞、四个任意文件写入漏洞和两个任意文件读取漏洞。

CVE-2023-3938：其中一个漏洞CVE-2023-3938允许网络犯罪分子通过二维码将恶意代码注入终端数据库，从而允许未经授权访问限制区域。

CVE-2023-3940：CVE-2023-3940允许任意文件读取，让攻击者访问敏感的生物特征用户数据和密码哈希，从而危及公司凭证。

CVE-2023-3942： CVE-2023-3942 允许 SQL 注入攻击从生物识别设备的数据库中检索敏感用户和系统信息。

CVE-2023-3941：由于跨多个系统组件的用户输入验证不当，CVE-2023-3941允许攻击者访问、窃取和远程更改生物识别读取器的数据库。攻击者可以上传个人数据、添加未经授权的个人、绕过旋转门或门并替换可执行文件，从而可能创建后门。

CVE-2023-3939 - CVE-2023-3943：另外两个漏洞CVE-2023-3939和CVE-2023-3943可被利用在设备上执行任意命令或代码，授予攻击者完全控制权并使他们能够操纵设备的操作，对其他网络节点发起攻击，并将攻击扩展到更广泛的公司基础设施中。

受影响的设备包括基于ZkTeco的OEM设备，包括ZkTeco ProFace X、Smartec ST-FR043和带有ZAM170-NF-1.8.25-7354-Ver1.0.0的Smartec ST-FR041ME。这些设备用于核电站、化工厂、办公室和医院等各个领域。

根据公司的新闻稿，卡巴斯基高级应用安全专家Georgy Kiguradze指出，这些漏洞引发了人们对深度伪造和社会工程攻击可能性的担忧。

此外，数据库篡改还可使设备成为武器，暴露禁区，甚至允许后门秘密渗透到其他网络，为网络间谍或破坏提供便利。这凸显了企业用户修补和全面安全审计的必要性。

在公开披露和等待补丁之前，这些漏洞已主动与制造商共享。在补丁发布之前，组织必须识别和隔离易受攻击的系统、实施多因素身份验证、定期进行安全审核、更新固件并暂时删除易受攻击的ZKTeco系统。