Четири уязвимости в сигурността на софтуера за наблюдение на парка от банкомати ScrutisWeb, създаден от Iagona, могат да бъдат използвани за дистанционно проникване в банкоматите, качване на произволни файлове и дори рестартиране на терминалите.
Недостатъците са открити от червения екип на Synack (SRT) след ангажимент на клиент. Проблемите са отстранени във версия 2.1.38 на ScrutisWeb.
„Успешното използване на тези уязвимости може да позволи на нападателя да качи и изпълни произволни файлове“, заяви Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) в консултация, публикувана миналия месец.
ScrutisWeb е решение, базирано на уеб браузър, за наблюдение на банковия парк и устройствата за търговия на дребно, включително получаване на информация за състоянието на системата, откриване на сигнали за липса на хартия, изключване или рестартиране на терминал и дистанционно модифициране на данни.
Най-сериозният от пропуските е CVE-2023-35189, тъй като позволява на неавтентифициран потребител да качи произволен файл и след това да го прегледа отново от уеб браузър, което води до инжектиране на команда.
В хипотетичен сценарий на атака противник може да използва CVE-2023-38257 и CVE-2023-35763, за да влезе в конзолата за управление на ScrutisWeb като администратор.
„Оттук злонамереният извършител би могъл да наблюдава дейностите на отделните банкомати в рамките на парка. Конзолата позволява също така да се пускат банкомати в режим на управление, да се качват файлове на тях, да се рестартират и да се изключват напълно“, казва Синак.
Освен това CVE-2023-35189 може да се използва за изтриване на регистрационни файлове в ScrutisWeb, за да се прикрият следите.
„Възможно е да възникне допълнителна експлоатация от тази опорна точка в инфраструктурата на клиента, което я превръща в точка на контакт с интернет за злонамерен хакер“, казват изследователите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
