Kaspersky Labは6月11日(現地時間)、「Analyzing the security properties of a ZKTeco biometric terminal|Securelist」において、中国のZkTecoが開発した生体認証デバイスから複数の脆弱性を発見したと報じた。ZkTecoは生体認証デバイスをOEM(Original Equipment Manufacturing)供給しており、それらデバイスも影響を受けると説明している。

Analyzing the security properties of a ZKTeco biometric terminal|Securelist

○脆弱性の情報

発見された脆弱性に関する情報は次のページにまとまっている。

Advisories/K-ZkTeco-2023-001.md at master klsecservices/Advisories GitHub

Advisories/K-ZkTeco-2023-002.md at master klsecservices/Advisories GitHub

Advisories/K-ZkTeco-2023-003.md at master klsecservices/Advisories GitHub

Advisories/K-ZkTeco-2023-004.md at master klsecservices/Advisories GitHub

Advisories/K-ZkTeco-2023-005.md at master klsecservices/Advisories GitHub

Advisories/K-ZkTeco-2023-006.md at master klsecservices/Advisories GitHub

発見された脆弱性の情報(CVE)は次のとおり。

CVE-2023-3938 - SQLインジェクションの脆弱性。攻撃者は任意のユーザーで認証できる

CVE-2023-3939 - OSコマンドインジェクションの脆弱性。攻撃者は管理者権限でOSコマンドを実行できる

CVE-2023-3940 - パストラバーサルの脆弱性。攻撃者はシステム上の任意のファイルにアクセスできる可能性がある

CVE-2023-3941 - パストラバーサルの脆弱性。攻撃者は管理者権限でシステム上の任意のファイルに書き込める

CVE-2023-3942 - SQLインジェクションの脆弱性。攻撃者は他のユーザーになりすましたり、不正なアクションを実行できる可能性がある

CVE-2023-3943 - バッファーオーバーフローの脆弱性。攻撃者は任意のコードを実行できる可能性がある

○脆弱性が存在する製品

脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。

ProFace X ZAM170-NF-1.8.25-7354-Ver1.0.0

Smartec ST-FR043 ZAM170-NF-1.8.25-7354-Ver1.0.0

Smartec ST-FR041ME ZAM170-NF-1.8.25-7354-Ver1.0.0

脆弱性は上記の製品の他に同様のハードウェアおよびファームウェアを搭載したOEM製品にも存在するとみられており、正確な影響範囲は不明とされる。

○影響と対策

発見された脆弱性を悪用すると、認証されていない第三者が任意のユーザーとして認証できる可能性がある。実際、Kaspersky LabはSQLコードを含むQRコードを用いて認証できることを確認している。

SQLコードを含むQRコードをかざして認証する様子 引用:Kaspersky Lab

また、ネットワーク機能からも脆弱性が発見されており、デバイスにアクセスできる認証されていない第三者が遠隔から管理者権限で任意のOSコマンドを実行できる可能性がある。これら脆弱性のうち最も深刻度の高いものは緊急(Critical)と評価されており注意が必要。

Kaspersky Labは発見した脆弱性をベンダーに報告しているが、ベンダーは脆弱性の情報や修正パッチの情報を公開していない。該当製品およびOEM製品を運用する管理者は、影響をベンダーに確認し、必要に応じて製品をアップデートすることが推奨されている。