Четири уязвимости в сигурността на софтуера за наблюдение на парка от банкомати ScrutisWeb, създаден от Iagona, могат да бъдат използвани за дистанционно проникване в банкоматите, качване на произволни файлове и дори рестартиране на терминалите.
Недостатъците са открити от червения екип на Synack (SRT) след ангажимент на клиент. Проблемите са отстранени във версия 2.1.38 на ScrutisWeb.
„Успешното използване на тези уязвимости може да позволи на нападателя да качи и изпълни произволни файлове“, заяви Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) в консултация, публикувана миналия месец.
ScrutisWeb е решение, базирано на уеб браузър, за наблюдение на банковия парк и устройствата за търговия на дребно, включително получаване на информация за състоянието на системата, откриване на сигнали за липса на хартия, изключване или рестартиране на терминал и дистанционно модифициране на данни.
Подробности за четирите недостатъка са следните
- CVE-2023-33871 (CVSS score: 7.5) – Уязвимост в обхождането на директории, която може да позволи на неавтентифициран потребител да получи директен достъп до всеки файл извън Webroot на сървъра.
- CVE-2023-35189 (CVSS score: 10.0) – Уязвимост за отдалечено изпълнение на код, която може да позволи на неупълномощен потребител да качи зловреден полезен товар и да го изпълни.
- CVE-2023-35763 (CVSS score: 5.5) – Криптографска уязвимост, която може да позволи на неупълномощен потребител да декриптира криптирани пароли в обикновен текст.
- CVE-2023-38257 (CVSS score: 7.5) – Несигурна уязвимост при директна препратка към обект, която може да позволи на неавтентифициран потребител да преглежда информация от профила, включително потребителски имена за вход и криптирани пароли.
Най-сериозният от пропуските е CVE-2023-35189, тъй като позволява на неавтентифициран потребител да качи произволен файл и след това да го прегледа отново от уеб браузър, което води до инжектиране на команда.
В хипотетичен сценарий на атака противник може да използва CVE-2023-38257 и CVE-2023-35763, за да влезе в конзолата за управление на ScrutisWeb като администратор.
„Оттук злонамереният извършител би могъл да наблюдава дейностите на отделните банкомати в рамките на парка. Конзолата позволява също така да се пускат банкомати в режим на управление, да се качват файлове на тях, да се рестартират и да се изключват напълно“, казва Синак.
Освен това CVE-2023-35189 може да се използва за изтриване на регистрационни файлове в ScrutisWeb, за да се прикрият следите.
„Възможно е да възникне допълнителна експлоатация от тази опорна точка в инфраструктурата на клиента, което я превръща в точка на контакт с интернет за злонамерен хакер“, казват изследователите.