Kritische Sicherheitslücken in biometrischen Scannern von ZKTeco aufgedeckt

Ein Forschungs-Team des Sicherheitssoftware-Unternehmens Kaspersky hat auf GitHub einen Bericht zu Sicherheitslücken in biometrischen Geräten der Firma ZKTeco publiziert. Darin warnt das Kaspersky-Team vor insgesamt 24 Schwachstellen, darunter 3 kritischen. 

Die Sicherheitslücken CVE-2023-3939, CVE-2023-3941 und CVE-2023-3943 sind alle mit dem höchsten CVSS-Score von 10 bewertet. Sie ermöglichen Angreifenden Remote Code Execution (RCE), uneingeschränkte Schreibrechte für Dateien zu erhalten und Pufferüberläufe (Buffer Overflows) zu erzeugen. Da die ZKTeco-Geräte nicht nur in Büros, sondern auch in Krankenhäusern, Atomanlagen und Chemiefabriken eingesetzt werden, ist die von den Schwachstellen ausgehende Bedrohung äußerst hoch.

Laut Kaspersky sind folgende Geräte von ZKTeco mit der Firmware ZAM170-NF-1.8.25-7354-Ver1.0.0 von den 24 Schwachstellen betroffen:

• ZkTeco ProFace X
• Smartec ST-FR043
• Smartec ST-FR041ME

Kaspersky informierte ZKTeco über alle Sicherheitslücken. Bisher ist jedoch unklar, ob das Unternehmen alle Schwachstellen behoben hat. Dem Advisory von Kaspersky auf GitHub zufolge sind Patches teilweise vorhanden. 

• Installieren Sie umgehend die vorhandenen Patches. 
• Isolieren Sie biometrische Terminals in einem eigenen Netzwerksegment.
• Verwenden Sie keine QR-Codes im Zusammenhang mit den biometrischen Geräten, soweit möglich.
• Prüfen Sie potenziell betroffene Geräte regelmäßig und kritisch.
• Implementieren Sie erweiterte Überwachungs- und Alarmmechanismen, um unautorisierte Zugriffsversuche frühzeitig zu erkennen.
• Verwenden Sie komplexe Passwörter, Zugangsmechanismen und, wenn möglich, Multi-Faktor-Authentifizierungen (MFA).