Hiện nay, máy chấm công tích hợp cửa từ tồn tại nhiều lỗ hổng bảo mật có thể bị hacker lợi dụng chiếm quyền điều khiển. Theo các nghiên cứu thời gian gần đây, các lỗ hổng này bị lợi dụng để truy cập từ xa, truy xuất các thông tin cá nhân nhạy cảm như họ tên, phòng ban, vân tay, mã pin,… sau đó vô hiệu hoá thiết bị, thực thi cài đặt các mã độc trên chúng hoặc thực hiện nhiều mục đích khác.
Các phân tích trước đây thực hiện bởi nhiều nhà nghiên cứu tại Infobyte Security Research Labs, và các nghiên cứu độc lập trên thế giới đã chỉ ra rằng máy chấm công được sản xuất bởi Ronal Jack, Wise/ ZKTeco bao gồm các phiên bản ZMM100, ZEM500, ZEM510,.. có chứa các lỗ hổng bảo mật ở các mức độ khác nhau, được liệt kê phía dưới:
– Trang quản trị thiết bị (80/TCP, 8080/TCP) có chứa thông tin về thiết bị, phiên bản, các menu tính năng. Người dùng Anonymous bất kì đều có thể truy cập dự do vào đây để điều khiển (Phiên bản mới thay bằng User và mật khẩu Admin), thay đổi các thiết lập của thiết bị mà không gặp bất kì một xác thực nào. Từ đó có thể kết luận tính năng LOGIN và kiểm tra SESSION hoàn toàn vô dụng.
– Đồng thời trên trang quản trị, người dùng Anonymous có thể trực tiếp tải về hai tập tin sao lưu của thiết bị (*.dat) bao gồm: Sao lưu về System (device.dat) và Sao lưu về User Data (user.dat). Thậm trí, các hacker có thể thực hiện tính năng “Restore Backup”.
– Các dữ liệu nhạy cảm như địa chỉ IP, phiên bản, các cấu hình và mật khẩu quản trị thiết bị dễ dàng được truy cập và tải về từ ngay chính trang quản trị khi truy cập trang options.cfg mà không cần bất kì một xác thực nào.
– Web Server cũng cung cấp SOAP API cho phép các hacker tải về danh sách người dùng có trong thiết bị chấm công và mật khẩu của họ (tất nhiên cũng không cần xác thực)
– Khi đã có trong tay mọi thông tin về phiên bản Linux Kernel, tài khoản quản trị, cổng truy cập Shell. Hacker dễ dàng thực hiện các việc nâng quyền, thay đổi cấu hình, cài đặt phần mềm.
Nhận thấy có rất nhiều lỗ hổng nghiêm trọng được chỉ ra, rủi ro cho tổ chức, hacker có thể nhắm tới như:
– Truy cập thông tin nhạy cảm của người dùng và quản trị viên bị rò rỉ
– Với những thông tin này, các kẻ tấn công sẽ dễ dàng vô hiệu hoá các cửa an ninh, thực hiện truy cập trái phép vào tổ chức
– Thực hiện cài đặt mã độc nằm vùng, làm bàn đạp để phát tán và tấn công vào tổ chức thông qua mạng nội bộ (Nghe nén trong mạng, tấn công các máy chủ nội bộ, Man-in-the-middle attack, ..). Thông thường, các máy chấm công này được đặt trong cùng vùng mạng và máy chủ nội bộ, để dễ dàng trong việc nắm bắt các thông tin công nhật của phòng Nhân Sự.
– Thực hiện thay đổi thông tin âm thanh, hình ảnh nhằm mục đích đe doạ tổ chức, gây mất uy tín.
Nguy hiểm hơn thế, một lý do ngớ ngẩn nào đó mà các thiết bị chấm công này lại được Public Internet. CyRadar thực hiện một vài thống kê thông qua công cụ Shodan để tìm kiếm số lượng các thiết bị có nguy cơ là nạn nhân của các kẻ tấn công. Ở Việt Nam có khoảng 1003 thiết bị phân bố chủ yếu ở TP Hồ Chí Minh, Hà Nội, Hài Phòng, Đà Nẵng, Cần Thơ – nơi có nhiều các doanh nghiệp và các khu công nghiệp lớn. Trên thế giới có khoảng 11,209 thiết bị phân bố tập trung ở các quốc gia Indonesia, Vietnam, Egypt, Israel, Taiwan (Vietnam nằm ở vị trí thứ 2).
Việt Nam đứng thứ 2 trong danh sách số lượng thiết bị có nguy cơ là nạn nhân của các kẻ tấn công.
Điều này dễ dàng dẫn tới hai kịch bản tấn công diện rộng:- Một mạng botnet máy tính ma lớn có thể được hình thành để thực hiện các cuộc tấn công từ chối dịch vụ – DDoS- Mã độc đào tiền ảo sẽ được triển khai, hậu quả có thể dẫn tới làm ngập băng thông. Điều này tương tự với các mã độc tấn công lên các thiết bị Camera an ninh trong những năm vừa qua.
Để khắc phục các lỗ hổng này, các tổ chức nên quy hoạch
1. Không cho phép các kết nối Internet Incoming và Outgoing cho thiết bị này với port 4370 được open trên Modem.
2. Sử dụng giải pháp cloud mà AZZA cung cấp, khách hàng không phải mở bất kỳ port nào trên modem hoặc thay đổi cấu hình bảo mật mạng vẫn có thể lấy dữ liệu từ xa thông qua phương thức get/post đã được mã hóa.