Уязвимости в ScrutisWeb могут использоваться для удаленного взлома банкоматов - «Новости» » Интернет технологии
sitename
Hisense запустила продажи 116-дюймового телевизора с подсветкой RGB MiniLED по цене $30 000 - «Новости сети»
Hisense запустила продажи 116-дюймового телевизора с подсветкой RGB MiniLED по цене $30 000 - «Новости сети»
 На Ryzen Threadripper Pro 9995WX запустили 400 копий Doom одновременно — и это не предел - «Новости сети»
На Ryzen Threadripper Pro 9995WX запустили 400 копий Doom одновременно — и это не предел - «Новости сети»
 Минцифры назвало условия для разблокировки звонков в WhatsApp и Telegram - «Новости сети»
Минцифры назвало условия для разблокировки звонков в WhatsApp и Telegram - «Новости сети»
 Telegram прокомментировал новые ограничения Роскомнадзора - «Новости сети»
Telegram прокомментировал новые ограничения Роскомнадзора - «Новости сети»
 Большая часть мира осталась без возможности оплаты покупок в Steam через PayPal — Valve объяснила, что произошло - «Новости сети»
Большая часть мира осталась без возможности оплаты покупок в Steam через PayPal — Valve объяснила, что произошло - «Новости сети»
 Редакторы Wikipedia будут быстро удалять статьи, сгенерированные ИИ - «Новости»
Редакторы Wikipedia будут быстро удалять статьи, сгенерированные ИИ - «Новости»
 В RubyGems нашли 60 вредоносных пакетов, загруженных 275 000 раз - «Новости»
В RubyGems нашли 60 вредоносных пакетов, загруженных 275 000 раз - «Новости»
 Efimer ворует криптовалюту, взламывает WordPress и рассылает спам - «Новости»
Efimer ворует криптовалюту, взламывает WordPress и рассылает спам - «Новости»
 Крупному бизнесу в России хотят запретить использовать иностранные облачные сервисы - «Новости»
Крупному бизнесу в России хотят запретить использовать иностранные облачные сервисы - «Новости»
 Пользователи WhatsApp и Telegram жалуются на проблемы со звонками - «Новости»
Пользователи WhatsApp и Telegram жалуются на проблемы со звонками - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Уязвимости в ScrutisWeb могут использоваться для удаленного взлома банкоматов - «Новости»

✔Уязвимости в ScrutisWeb могут использоваться для удаленного взлома банкоматов - «Новости»

16 августа 2023 692 Новости / Вёрстка / Линии и рамки / Отступы и поля 0

Исследователи предупредили о нескольких уязвимостях, обнаруженных в ПО для мониторинга банкоматов ScrutisWeb, разработанном французской компанией Iagona. Эти проблемы могут использоваться для удаленного взлома.


Уязвимости были обнаружены участниками red team компании Synack, и производитель устранил их в июле 2023 года с выпуском ScrutisWeb версии 2.1.38.


ScrutisWeb позволяет организациям осуществлять мониторинг парка банковских или устройств для розничной торговли прямо через браузер, что дает возможность оперативно реагировать на возникающие проблемы. ScrutisWeb позволяет контролировать аппаратное обеспечение, перезагружать или выключать девайс, отправлять и получать файлы, удаленно модифицировать данные. Стоит отметить, что в «парк банкоматов» могут входить и депозитные устройства для чеков, а также платежные терминалы.


Исследователи обнаружили в ScrutisWeb четыре уязвимости: CVE-2023-33871, CVE-2023-38257, CVE-2023-35763 и CVE-2023-35189. Эти проблемы связаны с обходом авторизации, обходом каталога (path traversal), жестко закодированным криптографическим ключом, а также с загрузкой произвольных файлов. Уязвимостями могут воспользоваться удаленные злоумышленники без аутентификации.


Баги могут использоваться для получения данных с сервера (настройки, журналы и базы данных), выполнения произвольных команд, а также для получения зашифрованных паролей администратора и их расшифровки с помощью жестко закодированного ключа.


По словам исследователей, в итоге атакующие могут использовать эти проблемы для входа в консоль управления ScrutisWeb от имени администратора и отслеживания работы подключенных к системе банкоматов, получив возможность активировать режим управления устройствами, перезагружать или выключать их, загружать файлы и так далее. Также хакеры могут использовать уязвимость удаленного выполнения команд, чтобы скрыть следы своей деятельности, удалив соответствующие файлы.


«Требуется дополнительное исследование, чтобы определить, может ли кастомное ПО быть загружено в отдельные банкоматы для осуществления эксфильтрации данных банковских карт, перенаправления Swift-переводов или других вредоносных действий. Однако такое дополнительное тестирование не входило в рамки нашего анализа», — отмечают исследователи.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Исследователи предупредили о нескольких уязвимостях, обнаруженных в ПО для мониторинга банкоматов ScrutisWeb, разработанном французской компанией Iagona. Эти проблемы могут использоваться для удаленного взлома. Уязвимости были обнаружены участниками red team компании Synack, и производитель устранил их в июле 2023 года с выпуском ScrutisWeb версии 2.1.38. ScrutisWeb позволяет организациям осуществлять мониторинг парка банковских или устройств для розничной торговли прямо через браузер, что дает возможность оперативно реагировать на возникающие проблемы. ScrutisWeb позволяет контролировать аппаратное обеспечение, перезагружать или выключать девайс, отправлять и получать файлы, удаленно модифицировать данные. Стоит отметить, что в «парк банкоматов» могут входить и депозитные устройства для чеков, а также платежные терминалы. Исследователи обнаружили в ScrutisWeb четыре уязвимости: CVE-2023-33871, CVE-2023-38257, CVE-2023-35763 и CVE-2023-35189. Эти проблемы связаны с обходом авторизации, обходом каталога (path traversal), жестко закодированным криптографическим ключом, а также с загрузкой произвольных файлов. Уязвимостями могут воспользоваться удаленные злоумышленники без аутентификации. Баги могут использоваться для получения данных с сервера (настройки, журналы и базы данных), выполнения произвольных команд, а также для получения зашифрованных паролей администратора и их расшифровки с помощью жестко закодированного ключа. По словам исследователей, в итоге атакующие могут использовать эти проблемы для входа в консоль управления ScrutisWeb от имени администратора и отслеживания работы подключенных к системе банкоматов, получив возможность активировать режим управления устройствами, перезагружать или выключать их, загружать файлы и так далее. Также хакеры могут использовать уязвимость удаленного выполнения команд, чтобы скрыть следы своей деятельности, удалив соответствующие файлы. «Требуется дополнительное исследование, чтобы определить, может ли кастомное ПО быть загружено в отдельные банкоматы для осуществления эксфильтрации данных банковских карт, перенаправления Swift-переводов или других вредоносных действий. Однако такое дополнительное тестирование не входило в рамки нашего анализа», — отмечают исследователи.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: