ZKTeco биометрийн системд аюулгүй байдлын 24 ноцтой алдаа бүхий эмзэг байдалтай байгааг тогтоожээ

          Хятадын ZKTeco үйлдвэрлэгчийн хосолсон биометрийн хандалттай системд хийсэн дүн шинжилгээгээр халдагч этгээд нэвтрэлт танилтыг цуцлах, биометрийн өгөгдлийг хулгайлах, тэр ч байтугай хортой зөвшөөрөлгүй программыг суулгах зэргээр ашиглагдаж буй хориод аюулгүй байдлын алдааг илрүүлжээ. Дээрх 24 дутагдалын зургаан нь SQL injection халдлага, долоон нь стек дээр суурилсан буфер хэт ачаалах, таван нь command injection халдлага, дөрвөн нь дурын файл дээр бичилт хийх , хоёр нь дурын файлаас унших зэрэг  байжээ. 

          Тиймээс, хангалтгүй тохируулагдсан хаалт нь энгийн халдлагад хүртэл эмзэг болж, халдагч байгууллагын чухал биет хөрөнгийн аюулгүй байдлыг зөрчихөд хялбар болгодог байна. Халдлагын эрсдэлийг бууруулахын тулд биометрийн уншигчийн хэрэглээг тусдаа сүлжээний сегмент болгон шилжүүлэх, аюулгүй  админы нууц үг ашиглах, төхөөрөмжийн аюулгүй байдлын тохиргоог сайжруулах, QR кодын хэрэглээг багасгах, болон системийг хамгийн сүүлийн шинэчлэлийг суулгадаг байх хэрэгтэй гэж зөвлөсөн байна.

Эх сурвалж: Hacker news.