事件描述

根据国家网络安全职能部门通报，熵基科技股份有限公司（曾用名“中控科技”）生产的混合生物识别终端（门禁系统产品）存在 SQL 注入、命令注入、文件路径绕过、任意文件写入和堆栈溢出等 6 个安全漏洞。攻击者可利用上述漏洞实现生 物识别数据窃取、获取服务器控制权限、任意命令执行等恶意操作。

生物识别终端存储大量人脸、指纹等敏感数据，一旦发生数据泄露或引发身份盗用、财产受损等事件，甚至成为敌对势力、黑客组织窃取我关键部门人员生物识别数据的突破口。

请各单位高度重视，组织开展本单位受影响情况排查，受影响单位在确保安全的前提下，通过安装补丁、升级系统等方式堵塞漏洞，消除风险隐患。同时，加强网络安全监测，若发生相关网络安全事件，各单位应按照《教育系统网络安全事件应急预案》及《河南省教育系统网络安全事件应急预案（2022修订版）》要求，第一时间上报，并采取有效措施将负面影响降到最低。

漏洞编号

CVE-2023-3938、CVE-2023-3939、CVE-2023-3940、CVE-2023-3941、CVE-2023-3942、CVE-2023-3943。

事件风险

高风险

影响范围

CVE-2023-3938：中国市场在售所有产品不受影响；海外市场受影响产品为 ProFace X、ST-FR043、ST-FR041ME 定制机型，定制固件版本为ZAM170-NF-1.8.25-7354-Ver1.0.0；

CVE-2023-3939 至 CVE-2023-3943：主要影响部分启用了脱机通讯功能的产品，主要涉及 ProFace X、ST-FR043、STFR041ME、S60 系列、iface3 系列、UF100 系列和 UF200 系列。

处置措施

1、可发送邮件至 service@zkteco.com 获取修复版本补丁包；

2、可拨打熵基科技客户服务热线 400-6900-999 获取修复版本补丁包；

3、可联系所在地区熵基科技分公司或合作伙伴获取修复版本补丁包。