Rủi ro từ lỗ hổng máy chấm công

268

Hiện nay, máy chấm công tích hợp cửa từ tồn tại nhiều lỗ hổng bảo mật có thể bị hacker lợi dụng chiếm quyền điều khiển. Theo các nghiên cứu thời gian gần đây, các lỗ hổng này bị lợi dụng để truy cập từ xa, truy xuất các thông tin cá nhân nhạy cảm như họ tên, phòng ban, vân tay, mã pin,… sau đó vô hiệu hoá thiết bị, thực thi cài đặt các mã độc trên chúng hoặc thực hiện nhiều mục đích khác.

Các mẫu máy chấm công đang được sử dụng rộng rãi trong các tổ chức, doanh nghiệp hiện nay.

Các máy chấm công hiện đại có nhiều tính năng tiên tiến, có thể tích hợp với các cửa từ để thực hiện điều khiển đóng và mở cửa tự động. Nhưng nếu những thiết bị này bị kiểm soát và sửa đổi thì liệu hệ thống cửa an ninh có còn đủ an toàn để bảo vệ công ty, tổ chức của bạn?

Các phân tích trước đây thực hiện bởi nhiều nhà nghiên cứu tại Infobyte Security Research Labs, và các nghiên cứu độc lập trên thế giới đã chỉ ra rằng máy chấm công được sản xuất bởi ZKSoftware/ ZKTeco (có trụ sở ở Shenzehn, China) bao gồm các phiên bản ZMM100, ZEM500, ZEM510,… có chứa các lỗ hổng bảo mật ở các mức độ khác nhau, được liệt kê phía dưới:

– Cổng Telnet (23/TCP) mặc định được mở và nếu hacker có một chút may mắn sẽ đăng nhập vào hệ thống với các tài khoản mặc định của nhà sản xuất, được liệt kê ở bảng dưới đây:

Tài khoản mặc định của nhà sản xuất có thể bị hacker lợi dụng để đăng nhập chiếm quyền máy chấm công.

– Trang quản trị thiết bị (80/TCP, 8080/TCP) có chứa thông tin về thiết bị, phiên bản, các menu tính năng. Người dùng Anonymous bất kì đều có thể truy cập dự do vào đây để điều khiển, thay đổi các thiết lập của thiết bị mà không gặp bất kì một xác thực nào. Từ đó có thể kết luận tính năng LOGIN và kiểm tra SESSION hoàn toàn vô dụng.

– Đồng thời trên trang quản trị, người dùng Anonymous có thể trực tiếp tải về hai tập tin sao lưu của thiết bị (*.dat) bao gồm: Sao lưu về System (device.dat) và Sao lưu về User Data (user.dat). Thậm trí, các hacker có thể thực hiện tính năng “Restore Backup”.

– Các dữ liệu nhạy cảm như địa chỉ IP, phiên bản, các cấu hình và mật khẩu quản trị thiết bị dễ dàng được truy cập và tải về từ ngay chính trang quản trị khi truy cập trang options.cfg mà không cần bất kì một xác thực nào.

– Web Server cũng cung cấp SOAP API cho phép các hacker tải về danh sách người dùng có trong thiết bị chấm công và mật khẩu của họ (tất nhiên cũng không cần xác thực).

– Khi đã có trong tay mọi thông tin về phiên bản Linux Kernel, tài khoản quản trị, cổng truy cập Shell. Hacker dễ dàng thực hiện các việc nâng quyền, thay đổi cấu hình, cài đặt phần mềm.

Giao diện quản lý máy chấm công.

Nhận thấy có rất nhiều lỗ hổng nghiêm trọng được chỉ ra, rủi ro cho tổ chức, hacker có thể nhắm tới như:

– Truy cập thông tin nhạy cảm của người dùng và quản trị viên bị rò rỉ;

– Với những thông tin này, các kẻ tấn công sẽ dễ dàng vô hiệu hoá các cửa an ninh, thực hiện truy cập trái phép vào tổ chức;

– Thực hiện cài đặt mã độc nằm vùng, làm bàn đạp để phát tán và tấn công vào tổ chức thông qua mạng nội bộ (Nghe nén trong mạng, tấn công các máy chủ nội bộ, Man-in-the-middle attack, ..). Thông thường, các máy chấm công này được đặt trong cùng vùng mạng và máy chủ nội bộ, để dễ dàng trong việc nắm bắt các thông tin công nhật của phòng Nhân Sự;

– Thực hiện thay đổi thông tin âm thanh, hình ảnh nhằm mục đích đe doạ tổ chức, gây mất uy tín.

Nguy hiểm hơn thế, một lý do ngớ ngẩn nào đó mà các thiết bị chấm công này lại được Public Internet. CyRadar thực hiện một vài thống kê thông qua công cụ Shodan để tìm kiếm số lượng các thiết bị có nguy cơ là nạn nhân của các kẻ tấn công. Ở Việt Nam có khoảng 1003 thiết bị phân bố chủ yếu ở TP Hồ Chí Minh, Hà Nội, Hài Phòng, Đà Nẵng, Cần Thơ – nơi có nhiều các doanh nghiệp và các khu công nghiệp lớn. Trên thế giới có khoảng 11,209 thiết bị phân bố tập trung ở các quốc gia Indonesia, Vietnam, Egypt, Israel, Taiwan (Vietnam nằm ở vị trí thứ 2).

Việt Nam đứng thứ 2 trong danh sách số lượng thiết bị có nguy cơ là nạn nhân của các kẻ tấn công.

Điều này dễ dàng dẫn tới hai kịch bản tấn công diện rộng:

– Một mạng botnet máy tính ma lớn có thể được hình thành để thực hiện các cuộc tấn công từ chối dịch vụ – DDoS;

– Mã độc đào tiền ảo sẽ được triển khai, hậu quả có thể dẫn tới làm ngập băng thông. Điều này tương tự với các mã độc tấn công lên các thiết bị Camera an ninh trong những năm vừa qua.

Để khắc phục các lỗ hổng này, các tổ chức nên quy hoạch các thiết bị chấm công đưa vào một vùng mạng riêng được cách biệt hoàn toàn với vùng máy chủ nội bộ, không cho phép các kết nối Internet Incoming và Outgoing cho thiết bị này. Đồng thời thực hiện thay đổi các mật khẩu mặc định. Tham khảo sát sao thông tin trên trang chủ của nhà cung cấp để kiểm tra và cập nhật các phiên bản Firmware phù hợp với thiết bị của mình đang sử dụng.

Harry Hà – CyRadar

Tin liên quan:
  • 11
    Shares