Las vulnerabilidades de Iagona ScrutisWeb podrían exponer los cajeros automáticos a ataques de carga y ejecución de archivos arbitrarios

Varias vulnerabilidades descubiertas en el software de monitoreo de flota ScrutisWeb ATM fabricado por la compañía francesa Iagona podrían explotarse para piratear remotamente cajeros automáticos.



Las brechas de seguridad fueron descubiertos por los miembros del Red Team de Synack y se parcheo en julio de 2023 con el lanzamiento de la versión 2.1.38 de ScrutisWeb.

ScrutisWeb permite a las organizaciones monitorear flotas bancarias o minoristas de cajeros automáticos desde un navegador web, lo que les permite responder rápidamente a los problemas. La solución se puede usar para monitorear hardware, reiniciar o apagar un terminal, enviar y recibir archivos y modificar datos de forma remota. Vale la pena señalar que las flotas de cajeros automáticos pueden incluir máquinas de depósito de cheques y terminales de pago en una cadena de restaurantes.

Los investigadores de Synack identificaron cuatro tipos de vulnerabilidades a los que se les han asignado los identificadores CVE CVE-2023-33871, CVE-2023-38257, CVE-2023-35763 y CVE-2023-35189.

Las fallas incluyen problemas de recorrido de ruta, omisión de autorización, clave criptográfica codificada y carga de archivos arbitrarios que pueden ser explotados por atacantes remotos y no autenticados.

Los actores de amenazas podrían explotar las fallas para obtener datos del servidor (configuraciones, registros y bases de datos), ejecutar comandos arbitrarios y obtener contraseñas de administrador cifradas y descifrarlas usando una clave codificada.

Los investigadores dijeron que un atacante puede aprovechar las fallas para iniciar sesión en la consola de administración de ScrutisWeb como administrador y monitorear las actividades de los cajeros automáticos conectados, habilitar el modo de administración en los dispositivos, cargar archivos, y reiniciarlos o apagarlos.

También podrían explotar la vulnerabilidad de ejecución remota de comandos para ocultar sus pistas eliminando archivos relevantes.

“Podría producirse una explotación adicional desde este punto de apoyo en la infraestructura del cliente, lo que lo convierte en un punto de pivote orientado a Internet para un actor malicioso”, explicó Neil Graves, uno de los investigadores involucrados en este proyecto.

“Se requeriría un examen adicional para determinar si el software personalizado podría cargarse en cajeros automáticos individuales para realizar la exfiltración de la tarjeta bancaria, la redirección de transferencia Swift u otras actividades maliciosas. Sin embargo, tales pruebas adicionales estaban fuera del alcance de la evaluación”, dijo Graves.

La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. ( CISA ) publicó recientemente un asesor informar a las organizaciones sobre estas vulnerabilidades. Según CISA, el producto afectado se utiliza en todo el mundo.

No hay comentarios:

Publicar un comentario