Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad radica en terminales insuficientemente configuradas, que se vuelven vulnerables a ataques simples al protocolo propietario, utilizado para comunicarse con el dispositivo, lo cual permite a actores maliciosos obtener acceso a zonas restringidas e incluso implantar puertas traseras para infiltrarse en redes críticas.
Las 24 fallas en ZKTeco abarcan:
- 6 Inyecciones SQL (CVE-2023-3942 CVSS: 7,5)-(CVE-2023-3938 CVSS: 4,6)
- 7 Desbordamientos de búfer basados en pilas(CVE-2023-3943 CVSS: 10.0)
- 5 Inyecciones de comandos(CVE-2023-3939 CVSS: 10.0)
- 4 Escrituras de archivos arbitrarios(CVE-2023-3941 CVSS: 10.0)
- 2 Lecturas de archivos arbitrarios(CVE-2023-3940 CVSS: 7,5)
Recursos afectados
Dispositivos OEM basados en ZkTeco:
- ZkTeco ProFace X
- Smartec ST-FR043
- Smartec ST-FR041ME
- ZAM170-NF-1.8.25-7354-Ver1.0.0
Solución
Descargar manualmente el paquete de actualización del firmware según el dispositivo instalado de la página de soporte, y seguir los pasos recomendados por el fabricante.
Recomendaciones
- Trasladar el uso del lector biométrico a un segmento de red separado
- Utilizar contraseñas de administrador sólidas
- Revisar la configuración de seguridad del dispositivo
- Minimizar el uso de códigos QR
- Mantener el sistema actualizado
Referencias