BioTime

Die Schwachstelle betrifft die Zeiterfassungssoftware BioTime von ZKTeco, genauer die sogenannte iclock-API – die Schnittstelle, über die angebundene Geräte mit dem System kommunizieren. Es handelt sich um einen Path-Traversal-Fehler: Durch eine gezielt manipulierte Anfrage kann ein Angreifer die vorgesehene Verzeichnisgrenze umgehen und auf Dateien außerhalb des eigentlich erlaubten Bereichs zugreifen. Auf diese Weise lassen sich beliebige Dateien auf dem Server auslesen. Besonders kritisch ist, dass der Angriff aus der Ferne und ohne jede Anmeldung gelingt – es genügt das Übermitteln einer präparierten Anfrage an die Schnittstelle. Damit können vertrauliche Inhalte wie Konfigurationsdateien, Zugangsdaten oder gespeicherte Personendaten offengelegt werden. Betroffen sind Installationen, bei denen die iclock-API erreichbar ist; da es sich um ein System zur Zutritts- und Zeiterfassung handelt, sind dort typischerweise sensible Mitarbeiterdaten hinterlegt.