• Latest
  • Trending
  • All
  • أوتو كار
  • الوطن العربي
كاسبرسكي تكشف عن 24 ثغرة أمنية في أنظمة الوصول البيومترية

كاسبرسكي تكشف عن 24 ثغرة أمنية في أنظمة الوصول البيومترية

12 يونيو، 2024
جمیل موتورز 20 عامًا من النجاح وتواصل رحلتھا مع GAC

جمیل موتورز 20 عامًا من النجاح وتواصل رحلتھا مع GAC

16 يوليو، 2026
هاتف HUAWEI nova 15 Max الجديد كليًا متاح الآن في مصر

هاتف HUAWEI nova 15 Max الجديد كليًا متاح الآن في مصر

16 يوليو، 2026
https://www.mitsubishimotors-eg.com/ar
ADVERTISEMENT
إرادة فاينانس تتعاون مع “التموين” لدعم المستفيدين من مشروع “Carry On”

إرادة فاينانس تتعاون مع “التموين” لدعم المستفيدين من مشروع “Carry On”

16 يوليو، 2026
بل مصر تستهدف الوصول لـ 100% مكون محلي في مواد التعبئة والتغليف خلال عامين

بل مصر تستهدف الوصول لـ 100% مكون محلي في مواد التعبئة والتغليف خلال عامين

16 يوليو، 2026
رئيس جامعة مدينة السادات يوقع بروتوكول مع محافظ المنوفية لتنفيذ برامج تدريبية

رئيس جامعة مدينة السادات يوقع بروتوكول مع محافظ المنوفية لتنفيذ برامج تدريبية

16 يوليو، 2026
زيارة فريق جيلي إلى EIM لبحث آفاق التعاون الاستراتيجي مع زيكر

زيارة فريق جيلي إلى EIM لبحث آفاق التعاون الاستراتيجي مع زيكر

16 يوليو، 2026
«مانيج إنجن» تستكمل منظومة إدارة دورة حياة الشهادات الرقمية عبر أتمتة كاملة دون تدخل بشري

«مانيج إنجن» تستكمل منظومة إدارة دورة حياة الشهادات الرقمية عبر أتمتة كاملة دون تدخل بشري

16 يوليو، 2026
«كايي أوتو» العالمية: مصر من أسرع أسواقنا نموًا

«كايي أوتو» العالمية: مصر من أسرع أسواقنا نموًا

16 يوليو، 2026
احياء يوم الوحدة الوطنية 15 يوليو في السفارة التركية بالقاهرة

احياء يوم الوحدة الوطنية 15 يوليو في السفارة التركية بالقاهرة

16 يوليو، 2026
بى تك تعزز تجربة العميل عبر منظومة بين الحلول الذكية وخدمات ما بعد البيع المتطورة

بى تك تعزز تجربة العميل عبر منظومة بين الحلول الذكية وخدمات ما بعد البيع المتطورة

15 يوليو، 2026
بنك ABC ينضم إلى تحالف مصرفي لتقديم تمويل مشترك متعدد التسهيلات بـ 550 مليون دولار لصالح Cheiron Finance Limited

بنك ABC ينضم إلى تحالف مصرفي لتقديم تمويل مشترك متعدد التسهيلات بـ 550 مليون دولار لصالح Cheiron Finance Limited

15 يوليو، 2026
كيونت تنظم مؤتمر V-Convention 2026 لاستعراض أحدث ممارسات ريادة الأعمال المسؤولة

كيونت تنظم مؤتمر V-Convention 2026 لاستعراض أحدث ممارسات ريادة الأعمال المسؤولة

15 يوليو، 2026
https://www.midbank.com.eg/ https://www.midbank.com.eg/ https://www.midbank.com.eg/
  • About
  • Advertise
  • Privacy & Policy
  • Contact
الخميس, يوليو 16, 2026
  • Login
  • الاخبار
  • التعلم الذكى
  • سياسة
  • المدن الذكية
  • المقالات
  • بورصة وبنوك
  • إفريقيا
  • الوطن العربي
    • هواتف ذكية
    • أوتو كار
  • الألعاب الإلكترونية
  • ريادة الأعمال
  • تكنولوجيا
No Result
View All Result
بوابة الاقتصاد الرقمي
Advertisement
ADVERTISEMENT
  • الاخبار
  • التعلم الذكى
  • سياسة
  • المدن الذكية
  • المقالات
  • بورصة وبنوك
  • إفريقيا
  • الوطن العربي
    • هواتف ذكية
    • أوتو كار
  • الألعاب الإلكترونية
  • ريادة الأعمال
  • تكنولوجيا
No Result
View All Result
بوابة الاقتصاد الرقمي
No Result
View All Result
https://www.banquemisr.com/?sc_lang=ar-EG https://www.banquemisr.com/?sc_lang=ar-EG https://www.banquemisr.com/?sc_lang=ar-EG
ADVERTISEMENT
Home تكنولوجيا

كاسبرسكي تكشف عن 24 ثغرة أمنية في أنظمة الوصول البيومترية

by admin
12 يونيو، 2024
in تكنولوجيا
0
كاسبرسكي تكشف عن 24 ثغرة أمنية في أنظمة الوصول البيومترية
492
SHARES
1.4k
VIEWS
Share on FacebookShare on Twitter
https://www.samsung.com/eg/ https://www.samsung.com/eg/ https://www.samsung.com/eg/
ADVERTISEMENT

كتب _ اياد علي:

كشفت كاسبرسكي عيوباً متعددة في البوابة الهجينة البيومترية والمصنوعة من ZKTeco العالمية فمن خلال إضافة بيانات مستخدم عشوائية إلى قاعدة البيانات، أو استخدام رمز استجابة سريعة (QR) زائف، يمكن لطرف إجرامي أن يلتف بسهولة على عملية التحقق، ويحصل على وصول غير مصرح به. كما يمكن للمهاجمين سرقة بيانات القياسات الحيوية وتسريبها، والتلاعب بالأجهزة عن بُعد، ونشر الأبواب الخلفية. ويعرّض ذلك المرافق فائقة الحماية في جميع أنحاء العالم للخطر إذا ما استخدمت هذا الجهاز الضعيف.


تم اكتشاف العيوب ضمن سياق البحث الذي أجراه خبراء تقييم الأمن في كاسبرسكي حيال برمجيات ومعدات أجهزة ZKTeco التي يتم توزيعها لتباع تحت علامات تجارية أخرى (منتجات علامة بيضاء). وقد تمت مشاركة جميع الكشوفات بشكل استباقي مع الشركة المصنعة قبل الإفصاح عنها للعامة.


يتم استخدام أجهزة قراءة القياسات الحيوية المذكورة على صعيد واسع عبر قطاعات متنوعة بداية من المنشآت النووية أو الكيميائية إلى المكاتب والمستشفيات. وتدعم هذه الأجهزة التعرف على الوجه، والمصادقة عبر رمز الاستجابة السريعة (QR)، إلى جانب القدرة على تخزين آلاف النماذج الوجهية. ومع ذلك، فهي تصبح معرضة للعديد من الهجمات نتيجة نقاط الضعف المكتشفة حديثاً. وقد قامت كاسبرسكي بتجميع العيوب استناداً إلى التصحيحات اللازمة، وتسجيلها ضمن قوائم CVE (نقاط الضعف والتعرض الشائعة) محددة.


التجاوز المادي عبر رمز الاستجابة السريعة (QR) الزائف
تسمح ثغرة CVE-2023-3938 لمجرمي الإنترنت بتنفيذ هجوم إلكتروني يُعرف باسم حقن SQL، والذي يتضمن دس تعليمات برمجية خبيثة في سلاسل مرسلة إلى قاعدة بيانات المحطة الطرفية. ويمكن للمهاجمين حقن بيانات محددة في رمز الاستجابة السريعة (QR) المستخدم للوصول إلى مواقع ممنوعة. وبالنتيجة، يمكنهم الحصول على وصول غير مصرح به إلى البوابة والوصول مادياً إلى المواقع الممنوعة.


عندما تقوم البوابة بمعالجة طلب يحتوي على هذا النوع من رموز الاستجابة السريعة (QR) الخبيثة، فإن قاعدة البيانات تميزه عن طريق الخطأ على أنه صادر عن آخر مستخدم مشروع سمح له بالدخول. فإذا كان رمز الاستجابة السريعة (QR) الزائف يحتوي على كمية مبالغ فيها من البيانات الخبيثة، فبدلاً من منح الوصول، تتم إعادة تشغيل الجهاز.


يقول جورجي كيجورادزي، مختص أمن تطبيقات أول في كاسبرسكي: «بالإضافة إلى استبدال رمز الاستجابة السريعة (QR)، هناك مسار هجوم مادي آخر مثير للاهتمام. فإذا تمكن شخص ذو نية خبيثة من الوصول إلى قاعدة بيانات الجهاز، فبمقدوره استغلال نقاط ضعف أخرى لتنزيل صورة مستخدم مشروعة، وطباعتها، واستخدامها لخداع كاميرا الجهاز للوصول إلى منطقة محمية. وتعاني هذه الطريقة من بعض المحدوديات بطبيعة الحال. حيث تتطلب صورة مطبوعة، ولا بد من إيقاف تشغيل اكتشاف الحرارة. لكن ورغم ذلك، فهي لا تزال تشكل تهديداً محتملاً كبيراً.»
سرقة بيانات القياسات الحيوية، ونشر الأبواب الخلفية، ومخاطر أخرى.


تعد مجموعة ثغرات CVE-2023-3940 عيوباً في أحد مكونات البرنامج، والتي تسمح بقراءة الملفات بشكل اعتباطي. حيث يتيح استغلال هذه الثغرات الأمنية للمهاجم المحتمل إمكانية الوصول إلى أي ملف على النظام، ويمكّنه من استخراجه. ويتضمن ذلك بيانات القياسات الحيوية الحساسة للمستخدم، وكلمات المرور المشفرة بشكل يزيد انتهاك بيانات اعتماد الشركة. وعلى نحو مماثل، توفر ثغرات CVE-2023-3942 طريقة أخرى لاسترداد معلومات المستخدم والنظام الحساسة من قواعد بيانات أجهزة القياس الحيوي، وذلك من خلال هجمات حقن SQL.
يمكن لمصادر التهديد الوصول إلى قاعدة بيانات قارئ بيانات حيوية، بالإضافة لقدرتها على سرقتها أو العبث بها عن بُعد عبر استغلال ثغرات CVE-2023-3941.

حيث تنشأ مجموعة الثغرات الأمنية هذه من التحقق غير الصحيح من مدخلات المستخدم عبر عدة مكونات للنظام. ويتيح استغلالها للمهاجمين رفع بياناتهم الخاصة، مثل الصور، مما يعني قدرتهم على إضافة أفراد غير مصرح لهم إلى قاعدة البيانات وهذا ما قد يمكّنهم من تجاوز البوابات الدوارة أو المداخل خلسة كما أن هناك ميزة هامة أخرى لهذه الثغرة الأمنية، وهي تمكين الجناة من استبدال الملفات التنفيذية، مما قد يؤدي إلى إنشاء باب خلفي.


يتيح الاستغلال الناجح لمجموعتين أخرتين من العيوب الجديدة – CVE-2023-3939 و CVE-2023-3943 – تنفيذ أوامر أو تعليمات برمجية عشوائية على الجهاز، مما يمنح المهاجم السيطرة الكاملة مع أعلى مستوى من الامتيازات. ويسمح ذلك لمصدر التهديد بالعبث بعمل الجهاز، والاستفادة منه لشن هجمات على عقد الشبكة الأخرى، وتوسيع نطاق الخرق عبر البنية التحتية الأوسع للشركة.

https://www.efinance.com.eg/ https://www.efinance.com.eg/ https://www.efinance.com.eg/
ADVERTISEMENT


أكمل جورجي كيجورادزي شرحه قائلاً: «إن تأثير نقاط الضعف المكتشفة متعدد الأشكال على نحو مثير للقلق. ففي البداية يمكن للمهاجمين بيع بيانات القياس الحيوية المسروقة عبر الإنترنت المظلم، معرضين الأفراد المتضررين لأخطار متزايدة من هجمات التزييف العميق والهندسة الاجتماعية المتطورة وعلاوة على ذلك، فإن القدرة على تبديل قاعدة البيانات تحول غرض أجهزة التحكم في الوصول الأصلي ليصبح سلاحاً مهدداً، مما قد يمنح الجهات المعادية وصولاً إلى مواضع ممنوعة. وأخيراً، تتيح بعض نقاط الضعف إمكانية وضع باب خفي للتسلل خلسة إلى شبكات المؤسسات الأخرى، مما يسهل تطوير الهجمات المعقدة بما في ذلك التجسس السيبراني أو التخريب المفتعل. وتؤكد جميع هذه العوامل على الحاجة الملحة إلى تصحيح نقاط الضعف هذه، بالإضافة إلى التدقيق العميق لإعدادات أمان الجهاز للأشخاص الذين يستخدمون أجهزتهم في المناطق المؤسساتية.»
حتى وقت نشر معلومات الثغرة الأمنية هذه، لم يكن بحوزة كاسبرسكي بيانات متاحة عن حالة إصدار التصحيحات الأمنية من عدمه.
إلى جانب تثبيت الإصلاح، تنصح كاسبرسكي باتخاذ الخطوات التالية لإحباط الهجمات الإلكترونية ذات الصلة:
• اعزل استخدام قارئ القياسات الحيوية ضمن حيز منفصل من الشبكة.


• استخدم كلمات مرور قوية للمسؤولين، وقم بتغيير الكلمات الافتراضية.
• دقق وحسّن إعدادات أمان الجهاز، معززاً الإعدادات الافتراضية الضعيفة. فكر في تفعيل أو إضافة ميزة اكتشاف درجة الحرارة لتجنب الدخول باستخدام صورة عشوائية.
• قلل من استخدام وظيفة رمز الاستجابة السريعة (QR)، إن أمكن.
• قم بتحديث البرمجيات الثابتة بانتظام.
تعرف على المزيد على موقع Securelist.com.

Post Views: 141
Tags: Climate ChangeDonald TrumpElection ResultsFlat EarthFuture of NewsGolden GlobesMotoGP 2017Mr. RobotSillicon ValleyUnited Stated
Share197Tweet123Share49
admin

admin

  • Trending
  • Comments
  • Latest
شريف : التوترات العالمية ستدفع الذهب لمزيد من الصعود

شريف : التوترات العالمية ستدفع الذهب لمزيد من الصعود

17 أبريل، 2025
تعرف علي الوظائف المتاحة للتعيين بالهيئة القومية للبريد

تعرف علي الوظائف المتاحة للتعيين بالهيئة القومية للبريد

5 يناير، 2024
مصنع دكتور فودز يوقع عقد شراكة مع دوليكس لاب لتصدير الأغذية الصحية لدول الخليج

مصنع دكتور فودز يوقع عقد شراكة مع دوليكس لاب لتصدير الأغذية الصحية لدول الخليج

3 مارس، 2024

أهلاً بالعالم !

2

Oil spill off India’s southern coast leaves fisherman stranded, marine life impacted

1

“كوربوريت ستاك” لحلول التحول الرقمي تحقق نمو 200% خلال 2023

1
جمیل موتورز 20 عامًا من النجاح وتواصل رحلتھا مع GAC

جمیل موتورز 20 عامًا من النجاح وتواصل رحلتھا مع GAC

16 يوليو، 2026
هاتف HUAWEI nova 15 Max الجديد كليًا متاح الآن في مصر

هاتف HUAWEI nova 15 Max الجديد كليًا متاح الآن في مصر

16 يوليو، 2026
إرادة فاينانس تتعاون مع “التموين” لدعم المستفيدين من مشروع “Carry On”

إرادة فاينانس تتعاون مع “التموين” لدعم المستفيدين من مشروع “Carry On”

16 يوليو، 2026
بوابة الاقتصاد الرقمي

Copyright © 2017 JNews.

Navigate Site

  • About
  • Advertise
  • Privacy & Policy
  • Contact

Follow Us

No Result
View All Result
  • الاخبار
  • أوتو كار
  • التعلم الذكى
  • سياسة
  • المدن الذكية
  • المقالات
  • بورصة وبنوك
  • إفريقيا
  • الوطن العربي
    • هواتف ذكية
    • الألعاب الإلكترونية
  • ريادة الأعمال
  • تكنولوجيا

Copyright © 2017 JNews.

Welcome Back!

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In