Компания Iagona выпустила обновление ПО ScrutisWeb после того, как исследователи обнаружили четыре опасных уязвимости в системе банкоматов.
Эти дефекты открывают возможности для взлома, загрузки вредоносных файлов и перезагрузки терминалов удаленно неавторизованными пользователями. Агентство CISA опубликовало сообщение об этих угрозах в прошлом месяце.
Недостатки в системе мониторинга ATM-терминалов ScrutisWeb выявили эксперты Synack Red Team, когда тестировали программное обеспечение по заданию клиента.
ScrutisWeb использует веб-интерфейс для сбора данных о работе терминалов и управления ими. Таким образом можно удаленно отслеживать состояние системы, получать оповещения, перезагружать устройства и вносить изменения в их конфигурацию.
Обнаруженные уязвимости открывают злоумышленникам расширенный доступ к функциям программы. CVE-2023-33871 позволит получить файлы за пределами каталога приложения. CVE-2023-35189 поможет выполнить произвольный код для взлома извне. CVE-2023-35763 делает доступными в открытом виде ранее зашифрованные пароли пользователей. CVE-2023-38257 дает прямой доступ к логинам и паролям.
Особенно опасна уязвимость CVE-2023-35189, так как с ее помощью в можно внедрить любую программу. Эксперты предупреждают, что теперь злоумышленники могут эксплуатировать и другие дефекты, чтобы получить права администратора в ScrutisWeb.
Специалисты советуют организациям как можно скорее перейти на версию ScrutisWeb 2.1.38.
Источник: Security Lab