Уязвимости Iagona ScrutisWeb могут подвергнуть банкоматы удаленному взлому

Несколько уязвимостей, обнаруженных в программном обеспечении для мониторинга парка банкоматов ScrutisWeb, разработанном французской компанией Iagona, могут быть использованы для удаленного взлома банкоматов.

Дыры в безопасности были обнаружены членами Synack Red Team, и они были устранены поставщиком в июле 2023 года с выпуском ScrutisWeb версии 2.1.38.

ScrutisWeb позволяет организациям контролировать банковские или розничные банкоматы из веб-браузера, что позволяет им быстро реагировать на проблемы. Решение можно использовать для мониторинга оборудования, перезагрузки или выключения терминала, отправки и получения файлов и удаленного изменения данных. Стоит отметить, что парк банкоматов может включать в себя банкоматы для внесения чеков и платежные терминалы в сети ресторанов.

Исследователи Synack определили четыре типа уязвимостей которым были присвоены идентификаторы CVE CVE-2023-33871, CVE-2023-38257, CVE-2023-35763 и CVE-2023-35189.

Недостатки включают обход пути, обход авторизации, жестко запрограммированный криптографический ключ и проблемы с загрузкой произвольных файлов, которые могут быть использованы удаленными злоумышленниками, не прошедшими проверку подлинности.

Злоумышленники могут использовать уязвимости для получения данных с сервера (конфигураций, журналов и баз данных), выполнения произвольных команд, получения зашифрованных паролей администратора и расшифровки их с помощью жестко закодированного ключа.

Исследователи заявили, что злоумышленник может использовать недостатки, чтобы войти в консоль управления ScrutisWeb в качестве администратора и отслеживать действия подключенных банкоматов, включать режим управления на устройствах, загружать файлы и перезагружать или выключать их.

Хакеры также могут использовать уязвимость удаленного выполнения команд, чтобы скрыть свои следы, удалив соответствующие файлы.

«Может произойти дополнительная эксплуатация этого плацдарма в инфраструктуре клиента, что сделает его опорной точкой для выхода в Интернет для злоумышленника», — пояснил Нил Грейвс, один из исследователей, участвовавших в этом проекте.

«Потребуется дальнейшая проверка, чтобы определить, можно ли загружать специальное программное обеспечение в отдельные банкоматы для выполнения эксфильтрации банковских карт, перенаправления переводов Swift или других злонамеренных действий. Однако такое дополнительное тестирование не входило в рамки оценки», — сказал Грейвс.

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) недавно опубликовало консультативный для информирования организаций об этих уязвимостях. По данным CISA, затронутый продукт используется во всем мире.

Связанный: Миллионы украдены при взломе производителя криптовалютных банкоматов General Bytes

Связанный: Появилось новое вредоносное ПО для банкоматов FiXS

Связанный: Дефекты банкоматов Diebold Nixdorf позволили злоумышленникам изменить прошивку и украсть наличные