Hacking ATMs by exploiting flaws in ScrutisWeb ATM fleet software
2023/08/15 SecurityAffairs — ATM 監視ソフトウェアである ScrutisWeb に、複数の脆弱性 (CVE-2023-33871/CVE-2023-38257/CVE-2023-35763/CVE-2023-35189) が、Synack Red Team の研究者たちにより発見された。これらの脆弱性の悪用に成功した攻撃者が、ATM をリモートでハッキングする可能性がある。Lagona が開発した ScrutisWeb は、ATM のリモート管理を可能にするソリューションであり、デバイスへのファイルの送受信/データの編集/デバイスの再起動/端末のシャットダウンなどの操作を実行できる。
これらの脆弱性は、2023年7月に Lagona がリリースした ScrutisWeb 2.1.38 で修正されている。
それぞれの脆弱性の詳細は以下の通りだ:
CVE-2023-33871:絶対パス・トラバーサルの脆弱性であり、サーバからの設定/ログ/データベースなどのダウンロードを可能にする。
CVE-2023-35189:リモート・コード実行の脆弱性であり、他の脆弱性との併用に成功した攻撃者が、ATM コントローラへのユーザー・アクセスを獲得する可能性がある。
CVE-2023-38257:IDOR (Insecure Direct Object Reference) の脆弱性であり、システム内の管理者を含む、すべてのユーザー情報の取得に悪用される可能性がある。
CVE-2023-35763 :ハードコードされた暗号キーの脆弱性であり、管理者の平文認証情報の取得に悪用される可能性がある。
CISA は 7月18日に、 これらの脆弱性に関するアドバイザリを公表し、以下のような推奨事項を提供している。
- 全ての制御システム・デバイスやシステムのネットワーク露出を最小限にして、インターネットからアクセスできないようにする。
- 制御システム・ネットワークとリモート・デバイスをファイアウォールの背後に配置し、ビジネス・ネットワークから分離する。
- リモート・アクセスが必要な場合は、VPN (Virtual Private Networks) などの安全な方法を使用する。ただし、VPN にも脆弱性がある可能性があるため、最新バージョンに更新する必要がある。また、VPN の安全性は、接続されたデバイスに依存することを理解しておく必要がある。
一言で ATM と言っても、その運用や管理の方式は、それぞれの国ごとに違うのでしょうかね。日本に住んでいると、ATM の監視ソフトが市販され、CVE がアサインされた脆弱性情報が公開されることなど、ありえない状況だと思えてしまいます。よろしければ、以下の関連記事も、ご参照ください。
2023/03/20:Bitcoin ATM の脆弱性をハッキング
2023/03/06:ATM を狙う FiXS マルウェアはロシア由来
IoT OT Security News 
You must be logged in to post a comment.