Iagona tarafından yapılan ScrutisWeb ATM filo izleme yazılımındaki dört güvenlik açığı, ATM’lere uzaktan girmek, rastgele dosyalar yüklemek ve hatta terminalleri yeniden başlatmak için kullanılabilir.
eksiklikler keşfetti Synack Red Team (SRT) tarafından bir müşteri katılımının ardından. Sorunlar ScrutisWeb sürüm 2.1.38’de ele alınmıştır.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), “Bu güvenlik açıklarının başarılı bir şekilde kullanılması, bir saldırganın rasgele dosyalar yüklemesine ve yürütmesine izin verebilir.” söz konusu geçen ay yayınlanan bir danışma belgesinde.
ScrutisWeb bilgi sistemi durumunu toplama, düşük kağıt uyarılarını algılama, bir terminali kapatma veya yeniden başlatma ve verileri uzaktan değiştirme dahil olmak üzere bankacılık ve perakende ATM filolarını izlemeye yönelik web tarayıcı tabanlı bir çözümdür.
Dört kusurun detayları aşağıdaki gibidir –
- CVE-2023-33871 (CVSS puanı: 7.5) – Kimliği doğrulanmamış bir kullanıcının sunucunun web kökü dışındaki herhangi bir dosyaya doğrudan erişmesine izin verebilecek bir dizin geçişi güvenlik açığı.
- CVE-2023-35189 (CVSS puanı: 10.0) – Kimliği doğrulanmamış bir kullanıcının kötü amaçlı bir yük yükleyip yürütmesine izin verebilecek bir uzaktan kod yürütme güvenlik açığı.
- CVE-2023-35763 (CVSS puanı: 5.5) – Kimliği doğrulanmamış bir kullanıcının şifrelenmiş parolaların şifresini düz metin olarak çözmesine izin verebilecek bir şifreleme güvenlik açığı.
- CVE-2023-38257 (CVSS puanı: 7.5) – Kimliği doğrulanmamış bir kullanıcının, kullanıcı oturum açma adları ve şifrelenmiş parolalar dahil olmak üzere profil bilgilerini görüntülemesine izin verebilecek, güvenli olmayan bir doğrudan nesne referansı güvenlik açığı.
Kusurların en ciddisi CVE-2023-35189’dur, çünkü kimliği doğrulanmamış bir kullanıcının herhangi bir dosyayı yüklemesine ve ardından onu bir web tarayıcısından tekrar görüntülemesine olanak tanıyarak komut enjeksiyonuna neden olur.
Varsayımsal bir saldırı senaryosunda, bir düşman, ScrutisWeb yönetim konsolunda yönetici olarak oturum açmak için CVE-2023-38257 ve CVE-2023-35763’ü silahlandırabilir.
Synack, “Buradan, kötü niyetli bir aktör, filo içindeki bireysel ATM’lerdeki etkinlikleri izleyebilir. Konsol, ATM’lerin yönetim moduna alınmasına, bunlara dosya yüklenmesine, yeniden başlatılmasına ve tamamen kapatılmasına da olanak tanır” dedi.
Ayrıca CVE-2023-35189, izleri örtmek için ScrutisWeb’deki günlük dosyalarını silmek için kullanılabilir.
Araştırmacılar, “Müşterinin altyapısındaki bu dayanaktan ek istismar meydana gelebilir ve bu da bunu kötü niyetli bir aktör için internete dönük bir pivot noktası haline getirir” dedi.