Jump to content

Уязвимости в банкоматах позволяли незаконно снять наличку


Recommended Posts

Производители банкоматов Diebold Nixdorf и NCR устранили ряд уязвимостей в своих продуктах, предоставлявших возможность выполнить произвольный код с или без прав уровня SYSTEM, а также осуществлять незаконное снятие наличности с помощью специальных команд.

Как пояснили специалисты команды CERT при Университете Карнеги-Меллон, первая уязвимость (CVE-2020-9062) затрагивала банкоматы серии Diebold Nixdorf ProCash 2100xe, работающие на базе ПО Wincor Probase версии 1.1.30.

Проблема заключалась в отсутствии механизма шифрования, аутентификации и проверки целостности сообщений между кассетным модулем CCDM и хостом. В результате атакующий, имеющий физический доступ к банкомату, мог перехватывать и модифицировать сообщения, например, об объеме и номинале денежных средств, и отправить его компьютеру.

Похожая уязвимость (CVE-2020-10124) была обнаружена в банкоматах NCR SelfServ, использующим программное обеспечение APTRA XFS 04.02.01 и 05.01.00. Как и в описанном выше случае, ПО не шифрует, не осуществляет аутентификацию и не проверяет целостность сообщений между купюроприемником (BNA) и компьютером.

Еще две уязвимости (CVE-2020-10125 и CVE-2020-10126) связаны с некорректной реализацией сертификатов для проверки обновлений BNA и некорректной проверкой обновлений для BNA, что позволяло выполнить код на хосте с системными привилегиями или без них. Для эксплуатации уязвимостей злоумышленнику требуется физический доступ к внутренним компонентам банкомата.

В конце июля компания Diebold Nixdorf сообщила о новом виде атак типа black box на банкоматы, в ходе которых злоумышленники использовали копию встроенного программного обеспечения банкомата для взаимодействия с устройством.

Link to comment

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...