Nekoliko ranjivosti otkrivenih u softveru za praćenje flote bankomata ScrutisWeb francuske kompanije Iagona moglo bi se iskoristiti za daljinsko hakovanje bankomata.
Sigurnosne rupe su otkrili članovi Synack Red tima, a dobavljač ih je zakrpio u julu 2023. godine izdavanjem ScrutisWeb verzije 2.1.38.
ScrutisWeb omogućava organizacijama da prate flote bankomata putem web pretraživača, omogućavajući im da brzo odgovore na probleme. Rješenje se može koristiti za nadgledanje hardvera, ponovno pokretanje ili gašenje terminala, slanje i primanje datoteka i daljinsko mijenjanje podataka. Vrijedi napomenuti da flota bankomata može uključivati aparate za uplatu čekova i terminale za plaćanje u lancu restorana.
Synack istraživači su identifikovali četiri tipa ranjivosti kojima su dodeljeni CVE identifikatori CVE-2023-33871, CVE-2023-38257, CVE-2023-35763 i CVE-2023-35189.
Nedostaci uključuju prelazak putanje, zaobilaženje autorizacije, tvrdokodirani kriptografski ključ i probleme sa proizvoljnim učitavanjem datoteka koje mogu iskoristiti udaljeni, neautorizirani napadači.
Hakeri bi mogli iskoristiti nedostatke kako bi dobili podatke sa servera (konfiguracije, evidencije i baze podataka), izvršili proizvoljne naredbe i dobili šifrirane administratorske lozinke i dešifrovali ih pomoću tvrdo kodiranog ključa.
Istraživači su rekli da haker može iskoristiti nedostatke da bi se prijavio na ScrutisWeb upravljačku konzolu kao administrator i nadgledao aktivnosti povezanih bankomata, omogućio način upravljanja na uređajima, otpremio datoteke i ponovo ih pokrenuo ili isključio.
Hakeri bi takođe mogli da iskoriste ranjivost daljinskog izvršavanja komandi da sakriju svoje tragove brisanjem relevantnih fajlova.
„Moglo bi doći do dodatnog iskorištavanja ovog uporišta u infrastrukturi klijenta, što bi ovo učinilo centralnom tačkom za hakera,“ objasnio je Neil Graves, jedan od istraživača uključenih u ovaj projekat.
“Bilo bi potrebno dodatno ispitivanje kako bi se utvrdilo može li se prilagođeni softver učitati na pojedinačne bankomate radi eksfiltracije bankovnih kartica, preusmjeravanja Swift transfera ili drugih malicioznih aktivnosti. Međutim, takva dodatna ispitivanja nisu bila obuhvaćena procjenom”, rekao je Graves.
Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) nedavno je objavila savjet kojim informiše organizacije o ovim ranjivostima. Prema CISA-i, pogođeni proizvod se koristi širom svijeta.
Izvor: Securityweek
