Несколько уязвимостей, обнаруженных в программном обеспечении для мониторинга парка банкоматов ScrutisWeb, разработанном французской компанией Iagona, могут быть использованы для удаленного взлома банкоматов.
Дыры в безопасности были обнаружены членами Synack Red Team, и они были устранены поставщиком в июле 2023 года с выпуском ScrutisWeb версии 2.1.38.
ScrutisWeb позволяет организациям контролировать банковские или розничные банкоматы из веб-браузера, что позволяет им быстро реагировать на проблемы. Решение можно использовать для мониторинга оборудования, перезагрузки или выключения терминала, отправки и получения файлов и удаленного изменения данных. Стоит отметить, что парк банкоматов может включать в себя банкоматы для внесения чеков и платежные терминалы в сети ресторанов.
Исследователи Synack определили четыре типа уязвимостей которым были присвоены идентификаторы CVE CVE-2023-33871, CVE-2023-38257, CVE-2023-35763 и CVE-2023-35189.
Недостатки включают обход пути, обход авторизации, жестко запрограммированный криптографический ключ и проблемы с загрузкой произвольных файлов, которые могут быть использованы удаленными злоумышленниками, не прошедшими проверку подлинности.
Злоумышленники могут использовать уязвимости для получения данных с сервера (конфигураций, журналов и баз данных), выполнения произвольных команд, получения зашифрованных паролей администратора и расшифровки их с помощью жестко закодированного ключа.
Исследователи заявили, что злоумышленник может использовать недостатки, чтобы войти в консоль управления ScrutisWeb в качестве администратора и отслеживать действия подключенных банкоматов, включать режим управления на устройствах, загружать файлы и перезагружать или выключать их.
Хакеры также могут использовать уязвимость удаленного выполнения команд, чтобы скрыть свои следы, удалив соответствующие файлы.
«Может произойти дополнительная эксплуатация этого плацдарма в инфраструктуре клиента, что сделает его опорной точкой для выхода в Интернет для злоумышленника», — пояснил Нил Грейвс, один из исследователей, участвовавших в этом проекте.
«Потребуется дальнейшая проверка, чтобы определить, можно ли загружать специальное программное обеспечение в отдельные банкоматы для выполнения эксфильтрации банковских карт, перенаправления переводов Swift или других злонамеренных действий. Однако такое дополнительное тестирование не входило в рамки оценки», — сказал Грейвс.
Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) недавно опубликовало консультативный для информирования организаций об этих уязвимостях. По данным CISA, затронутый продукт используется во всем мире.
Связанный: Миллионы украдены при взломе производителя криптовалютных банкоматов General Bytes
Связанный: Появилось новое вредоносное ПО для банкоматов FiXS
Связанный: Дефекты банкоматов Diebold Nixdorf позволили злоумышленникам изменить прошивку и украсть наличные
2023-08-14 16:06:46
1692067278
#Уязвимости #Iagona #ScrutisWeb #могут #подвергнуть #банкоматы #удаленному #взлому