Kaspersky Temukan 24 Kerentanan dalam Sistem Akses Biometrik dari China

JAKARTA - Para ahli Kaspersky Security Assessment telah mengidentifikasi banyak kerentanan pada terminal biometrik hybrid yang diproduksi oleh produsen internasional ZKTeco. 

Perusahaan keamanan siber global itu juga mengaku telah memberikan laporan terkait kerentanan ini kepada ZKTeco terlebih dahulu sebelumnya akhirnya dibagikan ke publik. 

Perangkat ini mendukung pengenalan wajah dan otentikasi kode QR, serta kapasitas untuk menyimpan ribuan templat wajah. Namun, Kaspersky menemukan beberapa celah yang  membuat mereka rentan terhadap berbagai serangan. 

Bypass fisik melalui kode QR palsu

Kerentanan CVE-2023-3938 memungkinkan penjahat siber melakukan serangan yang dikenal sebagai injeksi SQL. Penyerang dapat memasukkan data tertentu ke dalam kode QR yang digunakan untuk mengakses area terlarang. 

Akibatnya, mereka dapat memperoleh akses tidak sah ke terminal dan secara fisik mengakses area terlarang. Jika kode QR palsu berisi data berbahaya dalam jumlah berlebihan, alih-alih memberikan akses, perangkat akan melakukan restart.

“Jika seseorang dengan niat jahat mendapatkan akses ke database perangkat, mereka dapat mengeksploitasi kerentanan lain untuk mengunduh foto pengguna yang sah, mencetaknya, dan menggunakannya untuk menipu kamera perangkat agar mendapatkan akses ke area aman,” kata Georgy Kiguradze, Spesialis Keamanan Aplikasi Senior di Kaspersky.

Pencurian data biometrik, penerapan backdoor, dan risiko lainnya

CVE-2023-3940 adalah kelemahan pada komponen perangkat lunak yang memungkinkan pembacaan file secara sewenang-wenang. Penjahat memanfaatkan kerentanan ini untuk mengakses ke file apa pun di sistem dan memungkinkan mereka mengekstraknya. 

Hal ini mencakup data pengguna biometrik sensitif dan hash kata sandi untuk lebih membahayakan kredensial perusahaan. Pelaku ancaman tidak hanya dapat mengakses dan mencuri tetapi juga mengubah database pembaca biometrik dari jarak jauh dengan memanfaatkan CVE-2023-3941.  

“Dampak dari kerentanan yang ditemukan sangat beragam. Penyerang dapat menjual data biometrik curian di dark web, sehingga menjadikan individu terdampak mengalami peningkatan risiko serangan deepfake dan rekayasa sosial yang canggih,” jelas Georgy. 

Selain itu, beberapa kerentanan memungkinkan penempatan backdoor untuk secara diam-diam menyusup ke jaringan perusahaan lain, sehingga memfasilitasi pengembangan serangan canggih, termasuk spionase dunia maya atau sabotase.