كاسبرسكي تكشف عن 24 ثغرة أمنية في أنظمة الوصول البيومترية
تاريخ النشر: 12th, June 2024 GMT
كشفت كاسبرسكي عيوباً متعددة في البوابة الهجينة البيومترية والمصنوعة من شركة ZKTeco العالمية. فمن خلال إضافة بيانات مستخدم عشوائية إلى قاعدة البيانات، أو استخدام رمز استجابة سريعة (QR) زائف، يمكن لطرف إجرامي أن يلتف بسهولة على عملية التحقق، ويحصل على وصول غير مصرح به. كما يمكن للمهاجمين سرقة بيانات القياسات الحيوية وتسريبها، والتلاعب بالأجهزة عن بُعد، ونشر الأبواب الخلفية.
تم اكتشاف العيوب ضمن سياق البحث الذي أجراه خبراء تقييم الأمن في كاسبرسكي حيال برمجيات ومعدات أجهزة ZKTeco التي يتم توزيعها لتباع تحت علامات تجارية أخرى (منتجات علامة بيضاء). وقد تمت مشاركة جميع الكشوفات بشكل استباقي مع الشركة المصنعة قبل الإفصاح عنها للعامة.
يتم استخدام أجهزة قراءة القياسات الحيوية المذكورة على صعيد واسع عبر قطاعات متنوعة بداية من المنشآت النووية أو الكيميائية، إلى المكاتب والمستشفيات. وتدعم هذه الأجهزة التعرف على الوجه، والمصادقة عبر رمز الاستجابة السريعة (QR)، إلى جانب القدرة على تخزين آلاف النماذج الوجهية. ومع ذلك، فهي تصبح معرضة للعديد من الهجمات نتيجة نقاط الضعف المكتشفة حديثاً. وقد قامت كاسبرسكي بتجميع العيوب استناداً إلى التصحيحات اللازمة، وتسجيلها ضمن قوائم CVE (نقاط الضعف والتعرض الشائعة) محددة.
التجاوز المادي عبر رمز الاستجابة السريعة (QR) الزائف
تسمح ثغرة CVE-2023-3938 لمجرمي الإنترنت بتنفيذ هجوم إلكتروني يُعرف باسم حقن SQL، والذي يتضمن دس تعليمات برمجية خبيثة في سلاسل مرسلة إلى قاعدة بيانات المحطة الطرفية. ويمكن للمهاجمين حقن بيانات محددة في رمز الاستجابة السريعة (QR) المستخدم للوصول إلى مواقع ممنوعة. وبالنتيجة، يمكنهم الحصول على وصول غير مصرح به إلى البوابة والوصول مادياً إلى المواقع الممنوعة.
عندما تقوم البوابة بمعالجة طلب يحتوي على هذا النوع من رموز الاستجابة السريعة (QR) الخبيثة، فإن قاعدة البيانات تميزه عن طريق الخطأ على أنه صادر عن آخر مستخدم مشروع سمح له بالدخول. فإذا كان رمز الاستجابة السريعة (QR) الزائف يحتوي على كمية مبالغ فيها من البيانات الخبيثة، فبدلاً من منح الوصول، تتم إعادة تشغيل الجهاز.
يقول جورجي كيجورادزي، مختص أمن تطبيقات أول في كاسبرسكي: «بالإضافة إلى استبدال رمز الاستجابة السريعة (QR)، هناك مسار هجوم مادي آخر مثير للاهتمام. فإذا تمكن شخص ذو نية خبيثة من الوصول إلى قاعدة بيانات الجهاز، فبمقدوره استغلال نقاط ضعف أخرى لتنزيل صورة مستخدم مشروعة، وطباعتها، واستخدامها لخداع كاميرا الجهاز للوصول إلى منطقة محمية. وتعاني هذه الطريقة من بعض المحدوديات بطبيعة الحال. حيث تتطلب صورة مطبوعة، ولا بد من إيقاف تشغيل اكتشاف الحرارة. لكن ورغم ذلك، فهي لا تزال تشكل تهديداً محتملاً كبيراً.»
سرقة بيانات القياسات الحيوية، ونشر الأبواب الخلفية، ومخاطر أخرى
تعد مجموعة ثغرات CVE-2023-3940 عيوباً في أحد مكونات البرنامج، والتي تسمح بقراءة الملفات بشكل اعتباطي. حيث يتيح استغلال هذه الثغرات الأمنية للمهاجم المحتمل إمكانية الوصول إلى أي ملف على النظام، ويمكّنه من استخراجه. ويتضمن ذلك بيانات القياسات الحيوية الحساسة للمستخدم، وكلمات المرور المشفرة بشكل يزيد انتهاك بيانات اعتماد الشركة. وعلى نحو مماثل، توفر ثغرات CVE-2023-3942 طريقة أخرى لاسترداد معلومات المستخدم والنظام الحساسة من قواعد بيانات أجهزة القياس الحيوي، وذلك من خلال هجمات حقن SQL.
يمكن لمصادر التهديد الوصول إلى قاعدة بيانات قارئ بيانات حيوية، بالإضافة لقدرتها على سرقتها أو العبث بها عن بُعد عبر استغلال ثغرات CVE-2023-3941. حيث تنشأ مجموعة الثغرات الأمنية هذه من التحقق غير الصحيح من مدخلات المستخدم عبر عدة مكونات للنظام. ويتيح استغلالها للمهاجمين رفع بياناتهم الخاصة، مثل الصور، مما يعني قدرتهم على إضافة أفراد غير مصرح لهم إلى قاعدة البيانات. وهذا ما قد يمكّنهم من تجاوز البوابات الدوارة أو المداخل خلسة. كما أن هناك ميزة هامة أخرى لهذه الثغرة الأمنية، وهي تمكين الجناة من استبدال الملفات التنفيذية، مما قد يؤدي إلى إنشاء باب خلفي.
يتيح الاستغلال الناجح لمجموعتين أخرتين من العيوب الجديدة – CVE-2023-3939 و CVE-2023-3943 – تنفيذ أوامر أو تعليمات برمجية عشوائية على الجهاز، مما يمنح المهاجم السيطرة الكاملة مع أعلى مستوى من الامتيازات. ويسمح ذلك لمصدر التهديد بالعبث بعمل الجهاز، والاستفادة منه لشن هجمات على عقد الشبكة الأخرى، وتوسيع نطاق الخرق عبر البنية التحتية الأوسع للشركة.
أكمل جورجي كيجورادزي شرحه قائلاً: «إن تأثير نقاط الضعف المكتشفة متعدد الأشكال على نحو مثير للقلق. ففي البداية، يمكن للمهاجمين بيع بيانات القياس الحيوية المسروقة عبر الإنترنت المظلم، معرضين الأفراد المتضررين لأخطار متزايدة من هجمات التزييف العميق والهندسة الاجتماعية المتطورة. وعلاوة على ذلك، فإن القدرة على تبديل قاعدة البيانات تحول غرض أجهزة التحكم في الوصول الأصلي ليصبح سلاحاً مهدداً، مما قد يمنح الجهات المعادية وصولاً إلى مواضع ممنوعة. وأخيراً، تتيح بعض نقاط الضعف إمكانية وضع باب خفي للتسلل خلسة إلى شبكات المؤسسات الأخرى، مما يسهل تطوير الهجمات المعقدة، بما في ذلك التجسس السيبراني أو التخريب المفتعل. وتؤكد جميع هذه العوامل على الحاجة الملحة إلى تصحيح نقاط الضعف هذه، بالإضافة إلى التدقيق العميق لإعدادات أمان الجهاز للأشخاص الذين يستخدمون أجهزتهم في المناطق المؤسساتية.»
حتى وقت نشر معلومات الثغرة الأمنية هذه، لم يكن بحوزة كاسبرسكي بيانات متاحة عن حالة إصدار التصحيحات الأمنية من عدمه.
إلى جانب تثبيت الإصلاح، تنصح كاسبرسكي باتخاذ الخطوات التالية لإحباط الهجمات الإلكترونية ذات الصلة:
اعزل استخدام قارئ القياسات الحيوية ضمن حيز منفصل من الشبكة.
استخدم كلمات مرور قوية للمسؤولين، وقم بتغيير الكلمات الافتراضية.
دقق وحسّن إعدادات أمان الجهاز، معززاً الإعدادات الافتراضية الضعيفة. فكر في تفعيل أو إضافة ميزة اكتشاف درجة الحرارة لتجنب الدخول باستخدام صورة عشوائية.
قلل من استخدام وظيفة رمز الاستجابة السريعة (QR)، إن أمكن.
قم بتحديث البرمجيات الثابتة بانتظام.
المصدر: بوابة الوفد
كلمات دلالية: رمز الاستجابة السریعة قاعدة البیانات نقاط الضعف إلى قاعدة
إقرأ أيضاً:
بلدية عكار العنيقة شكرت لـالزراعة استجابتها السريعة لمعالجة مشكلة نفوق الابقار والاغنام
شكرت بلدية عكار العتيقة، باسمها وباسم أهالي البلدة والمربين فيها، لوزارة الزراعة وعلى رأسها الوزير الدكتور نزار هاني، استجابتها السريعة والفعالة للنداءات الطارئة التي أطلقها الأهالي إثر حالات النفوق المفاجئة التي طالت عددًا من رؤوس الأبقار والأغنام في منطقتي عكار العتيقة والدورة.
وقالت في بيان: "إن هذه المبادرة العاجلة بتكليف رئيس مصلحة الزراعة في عكار الأستاذ طه مصطفى، وإيفاد فريق بيطري متخصص من دائرة الثروة الحيوانية لإجراء كشف ميداني شامل، وأخذ العينات اللازمة لإجراء الفحوصات المخبرية، تعكس حرص الوزارة الكبير على سلامة الثروة الحيوانية وعلى دعم المربين في المناطق الريفية".
وإذ نثني البلدية على هذا الدور الوطني المسؤول، نؤكد أن "هذه الاستجابة تشكّل نموذجًا يحتذى به في العمل المؤسساتي المتكامل، وتعكس التزام وزارة الزراعة في الوقوف إلى جانب المواطنين، وتعزيز الأمن الصحي الحيواني الذي يُعد من الركائز الأساسية للأمن الغذائي في لبنان". مواضيع ذات صلة تحية من الحشيمي لوزيرة التربية على استجابتها السريعة Lebanon 24 تحية من الحشيمي لوزيرة التربية على استجابتها السريعة 25/05/2025 14:20:39 25/05/2025 14:20:39 Lebanon 24 Lebanon 24 إعلان لائحة "ضيعتنا بتجمعنا" لبلدية بينو- قبولا في عكار Lebanon 24 إعلان لائحة "ضيعتنا بتجمعنا" لبلدية بينو- قبولا في عكار 25/05/2025 14:20:39 25/05/2025 14:20:39 Lebanon 24 Lebanon 24 إكتشاف مهمّ... طريقة فعالة وسريعة لمُعالجة المصابين بـ"كورونا" Lebanon 24 إكتشاف مهمّ... طريقة فعالة وسريعة لمُعالجة المصابين بـ"كورونا" 25/05/2025 14:20:39 25/05/2025 14:20:39 Lebanon 24 Lebanon 24 نشرة توعوية لوزارة الزراعة: زراعة الكرز في عكار نموذج حديث لإنتاج وفير وجودة عالية Lebanon 24 نشرة توعوية لوزارة الزراعة: زراعة الكرز في عكار نموذج حديث لإنتاج وفير وجودة عالية 25/05/2025 14:20:39 25/05/2025 14:20:39 Lebanon 24 Lebanon 24 قد يعجبك أيضاً "فتح" - لبنان نوّهت بمضمون البيان الرئاسي المشترك Lebanon 24 "فتح" - لبنان نوّهت بمضمون البيان الرئاسي المشترك 07:14 | 2025-05-25 25/05/2025 07:14:48 Lebanon 24 Lebanon 24 محمد سليمان زار مجلسيّ بلديتيّ البيرة وسنديانة زيدان مهنئا Lebanon 24 محمد سليمان زار مجلسيّ بلديتيّ البيرة وسنديانة زيدان مهنئا 07:12 | 2025-05-25 25/05/2025 07:12:38 Lebanon 24 Lebanon 24 صدور نتائج الانتخابات البلدية والاختيارية في قضاء صور Lebanon 24 صدور نتائج الانتخابات البلدية والاختيارية في قضاء صور 06:48 | 2025-05-25 25/05/2025 06:48:15 Lebanon 24 Lebanon 24 بيان توضيحي من بلدية كفر بيت حول الانتخابات البلدية Lebanon 24 بيان توضيحي من بلدية كفر بيت حول الانتخابات البلدية 06:36 | 2025-05-25 25/05/2025 06:36:19 Lebanon 24 Lebanon 24 داخل شقته في بيروت... هكذا تُوفِيَ الشاب أنطونيو صباح اليوم Lebanon 24 داخل شقته في بيروت... هكذا تُوفِيَ الشاب أنطونيو صباح اليوم 06:31 | 2025-05-25 25/05/2025 06:31:19 Lebanon 24 Lebanon 24 الأكثر قراءة آخر نتائج الإنتخابات البلدية في الجنوب.. قائمة بأبرز الفائزين Lebanon 24 آخر نتائج الإنتخابات البلدية في الجنوب.. قائمة بأبرز الفائزين 16:56 | 2025-05-24 24/05/2025 04:56:42 Lebanon 24 Lebanon 24 بالفيديو: ستيفاني عطالله تدخل القفص الذهبي.. شاهدوا كيف بدت خلال حفل الزفاف Lebanon 24 بالفيديو: ستيفاني عطالله تدخل القفص الذهبي.. شاهدوا كيف بدت خلال حفل الزفاف 10:16 | 2025-05-24 24/05/2025 10:16:24 Lebanon 24 Lebanon 24 تأثرت وبكت خلال حفل زفافها.. كلمات مؤثرة من ستيفاني عطالله لزوجها زاف (فيديو) Lebanon 24 تأثرت وبكت خلال حفل زفافها.. كلمات مؤثرة من ستيفاني عطالله لزوجها زاف (فيديو) 11:00 | 2025-05-24 24/05/2025 11:00:00 Lebanon 24 Lebanon 24 أطلت بالأبيض... نجمة مسلسل "باب الحارة" تدخل القفص الأبيض شاهدوا عريسها Lebanon 24 أطلت بالأبيض... نجمة مسلسل "باب الحارة" تدخل القفص الأبيض شاهدوا عريسها 07:30 | 2025-05-24 24/05/2025 07:30:00 Lebanon 24 Lebanon 24 جديد نتائج إنتخابات "المخاتير" في الجنوب.. هؤلاء هم الفائزون Lebanon 24 جديد نتائج إنتخابات "المخاتير" في الجنوب.. هؤلاء هم الفائزون 16:56 | 2025-05-24 24/05/2025 04:56:23 Lebanon 24 Lebanon 24 أخبارنا عبر بريدك الالكتروني بريد إلكتروني غير صالح إشترك أيضاً في لبنان 07:14 | 2025-05-25 "فتح" - لبنان نوّهت بمضمون البيان الرئاسي المشترك 07:12 | 2025-05-25 محمد سليمان زار مجلسيّ بلديتيّ البيرة وسنديانة زيدان مهنئا 06:48 | 2025-05-25 صدور نتائج الانتخابات البلدية والاختيارية في قضاء صور 06:36 | 2025-05-25 بيان توضيحي من بلدية كفر بيت حول الانتخابات البلدية 06:31 | 2025-05-25 داخل شقته في بيروت... هكذا تُوفِيَ الشاب أنطونيو صباح اليوم 06:24 | 2025-05-25 عبد المسيح: نثمن انطلاقة العهد والحكومة باتمام هذا الاستحقاق الديموقراطي بنجاح فيديو جريمة مرعبة.. زوج والدته قتله بسبب لعبة! Lebanon 24 جريمة مرعبة.. زوج والدته قتله بسبب لعبة! 04:27 | 2025-05-25 25/05/2025 14:20:39 Lebanon 24 Lebanon 24 بعد انتشار فيديو خادش لها مع شاب داخل سيارة.. هبة نور ترد لأول مرة وتكشف عن زواجها في سن صغيرة (فيديو) Lebanon 24 بعد انتشار فيديو خادش لها مع شاب داخل سيارة.. هبة نور ترد لأول مرة وتكشف عن زواجها في سن صغيرة (فيديو) 01:30 | 2025-05-24 25/05/2025 14:20:39 Lebanon 24 Lebanon 24 المذيع لجأ إلى فاصل إعلاني.. فنانة شهيرة تنهار على الهواء مباشرة شاهدوا ماذا حصل (فيديو) Lebanon 24 المذيع لجأ إلى فاصل إعلاني.. فنانة شهيرة تنهار على الهواء مباشرة شاهدوا ماذا حصل (فيديو) 02:49 | 2025-05-23 25/05/2025 14:20:39 Lebanon 24 Lebanon 24 Download our application مباشر الأبرز لبنان خاص إقتصاد عربي-دولي بلديات 2025 متفرقات أخبار عاجلة Download our application Follow Us Download our application بريد إلكتروني غير صالح Softimpact Privacy policy من نحن لإعلاناتكم للاتصال بالموقع Privacy policy جميع الحقوق محفوظة © Lebanon24
نتيجة الصف الرابع الابتدائي.. موعد ظهورها ورابط الاستعلام المباشر