Уязвимости в банкоматах позволяли незаконно снять наличку
21 августа 2020 года
Производители банкоматов Diebold Nixdorf и NCR устранили ряд уязвимостей в своих продуктах, предоставлявших возможность выполнить произвольный код с или без прав уровня SYSTEM, а также осуществлять незаконное снятие наличности с помощью специальных команд.
Как пояснили специалисты команды CERT при Университете Карнеги-Меллон, первая уязвимость (CVE-2020-9062) затрагивала банкоматы серии Diebold Nixdorf ProCash 2100xe, работающие на базе ПО Wincor Probase версии 1.1.30. Проблема заключалась в отсутствии механизма шифрования, аутентификации и проверки целостности сообщений между кассетным модулем CCDM и хостом. В результате атакующий, имеющий физический доступ к банкомату, мог перехватывать и модифицировать сообщения, например, об объеме и номинале денежных средств, и отправить его компьютеру.
Похожая уязвимость (CVE-2020-10124) была обнаружена в банкоматах NCR SelfServ, использующим программное обеспечение APTRA XFS 04.02.01 и 05.01.00. Как и в описанном выше случае, ПО не шифрует, не осуществляет аутентификацию и не проверяет целостность сообщений между купюроприемником (BNA) и компьютером.
Еще две уязвимости (CVE-2020-10125 и CVE-2020-10126) связаны с некорректной реализацией сертификатов для проверки обновлений BNA и некорректной проверкой обновлений для BNA, что позволяло выполнить код на хосте с системными привилегиями или без них.
Для эксплуатации уязвимостей злоумышленнику требуется физический доступ к внутренним компонентам банкомата.
В конце июля компания Diebold Nixdorf сообщила о новом виде атак типа black box на банкоматы, в ходе которых злоумышленники использовали копию встроенного программного обеспечения банкомата для взаимодействия с устройством.
Источники[править]
| Эта статья содержит материалы из статьи «Уязвимости в банкоматах позволяли незаконно снять наличку», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
