Търсене
Close this search box.

Множество недостатъци в ScrutisWeb, излагат банкоматите на хакерство

Четири уязвимости в сигурността на софтуера за наблюдение на парка от банкомати ScrutisWeb, създаден от Iagona, могат да бъдат използвани за дистанционно проникване в банкоматите, качване на произволни файлове и дори рестартиране на терминалите.

Недостатъците са открити от червения екип на Synack (SRT) след ангажимент на клиент. Проблемите са отстранени във версия 2.1.38 на ScrutisWeb.

„Успешното използване на тези уязвимости може да позволи на нападателя да качи и изпълни произволни файлове“, заяви Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) в консултация, публикувана миналия месец.

ScrutisWeb е решение, базирано на уеб браузър, за наблюдение на банковия парк и устройствата за търговия на дребно, включително получаване на информация за състоянието на системата, откриване на сигнали за липса на хартия, изключване или рестартиране на терминал и дистанционно модифициране на данни.

Подробности за четирите недостатъка са следните

 

  • CVE-2023-33871 (CVSS score: 7.5) – Уязвимост в обхождането на директории, която може да позволи на неавтентифициран потребител да получи директен достъп до всеки файл извън Webroot на сървъра.
  • CVE-2023-35189 (CVSS score: 10.0) – Уязвимост за отдалечено изпълнение на код, която може да позволи на неупълномощен потребител да качи зловреден полезен товар и да го изпълни.
  • CVE-2023-35763 (CVSS score: 5.5) – Криптографска уязвимост, която може да позволи на неупълномощен потребител да декриптира криптирани пароли в обикновен текст.
  • CVE-2023-38257 (CVSS score: 7.5) – Несигурна уязвимост при директна препратка към обект, която може да позволи на неавтентифициран потребител да преглежда информация от профила, включително потребителски имена за вход и криптирани пароли.

Най-сериозният от пропуските е CVE-2023-35189, тъй като позволява на неавтентифициран потребител да качи произволен файл и след това да го прегледа отново от уеб браузър, което води до инжектиране на команда.

В хипотетичен сценарий на атака противник може да използва CVE-2023-38257 и CVE-2023-35763, за да влезе в конзолата за управление на ScrutisWeb като администратор.

„Оттук злонамереният извършител би могъл да наблюдава дейностите на отделните банкомати в рамките на парка. Конзолата позволява също така да се пускат банкомати в режим на управление, да се качват файлове на тях, да се рестартират и да се изключват напълно“, казва Синак.

Освен това CVE-2023-35189 може да се използва за изтриване на регистрационни файлове в ScrutisWeb, за да се прикрият следите.

„Възможно е да възникне допълнителна експлоатация от тази опорна точка в инфраструктурата на клиента, което я превръща в точка на контакт с интернет за злонамерен хакер“, казват изследователите.

Източник: The Hacker News

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
11 април 2024

CISA нарежда на агенциите, засегнати от хакерск...

CISA издаде нова спешна директива, с която нарежда на федералните а...
Бъдете социални
Още по темата
13/04/2024

На федералните агенции на С...

В четвъртък Агенцията за киберсигурност и...
10/04/2024

AT&T твърди, че пробива...

AT&T уведомява 51 милиона бивши и...
22/03/2024

Над 800 npm пакети с несъот...

Ново изследване откри над 800 пакета...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!