Krytyczna podatność w urządzeniu biometrycznym ZKSoftware UFace 5 umożliwia całkowite pominięcie mechanizmu uwierzytelniania bez żadnych uprawnień ani interakcji użytkownika. Ze względu na sieciowy charakter ataku i brak wymaganych uprawnień, zagrożenie jest oceniane jako krytyczne (CVSS 9.8).
▸ Pokaż oryginał (EN)
Authentication Bypass by Primary Weakness vulnerability in ZKSoftware Biometric Security Solutions UFace 5 allows Authentication Bypass. This issue affects UFace 5: through 12022024.
Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) wskazuje na fundamentalną słabość w głównym mechanizmie uwierzytelniania urządzenia. Atakujący zdalnie, przez sieć, bez konieczności posiadania jakichkolwiek danych uwierzytelniających, może ominąć proces weryfikacji tożsamości. Luka dotyczy wszystkich wersji oprogramowania UFace 5 do wersji 12022024 włącznie.
Skuteczne wykorzystanie podatności pozwala atakującemu uzyskać nieautoryzowany dostęp do urządzenia biometrycznego, co może skutkować naruszeniem poufności, integralności oraz dostępności systemu — w tym potencjalną manipulacją danymi biometrycznymi lub kontrolą dostępu fizycznego.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie komunikatów bezpieczeństwa opublikowanych przez USOM (TR-24-0173) oraz odizolowanie urządzeń UFace 5 od publicznej sieci do czasu zastosowania aktualizacji.
ZKSoftware Biometric Security Solutions UFace 5 — wszystkie wersje oprogramowania do 12022024 włącznie.
Podatność zgłoszona i opisana przez turecką jednostkę ds. cyberbezpieczeństwa USOM (Ulusal Siber Olaylara Müdahale Merkezi) w biuletynie TR-24-0173.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HZksoftware Uface 5
APPZksoftware≤ 12022024