ScrutisWeb 软件中发现的多个缺陷使 ATM 机容易遭受远程黑客攻击

Iagona 开发的 ScrutisWeb ATM 车队监控软件中存在四个安全漏洞，可被利用远程侵入 ATM、上传任意文件，甚至重启终端。

Synack 红队 (SRT) 在与客户接触后发现了这些缺陷。这些问题已在 ScrutisWeb 版本 2.1.38 中得到解决。

美国网络安全和基础设施安全局 (CISA)在上个月发布的一份公告中表示：“成功利用这些漏洞可能会让攻击者上传并执行任意文件。”

ScrutisWeb是一种基于 Web 浏览器的解决方案，用于监控银行和零售 ATM 机群，包括收集信息系统状态、检测纸张不足警报、关闭或重新启动终端以及远程修改数据。

这四个缺陷的详情如下：

• CVE-2023-33871（CVSS 评分：7.5） – 目录遍历漏洞，可能允许未经身份验证的用户直接访问服务器 webroot 之外的任何文件。
• CVE-2023-35189（CVSS 评分：10.0） – 一个远程执行代码漏洞，可能允许未经身份验证的用户上传恶意负载并执行它。
• CVE-2023-35763（CVSS 评分：5.5） – 一个加密漏洞，可能允许未经身份验证的用户将加密密码解密为明文。
• CVE-2023-38257（CVSS 评分：7.5） – 一个不安全的直接对象引用漏洞，可能允许未经身份验证的用户查看配置文件信息，包括用户登录名和加密密码。

最严重的缺陷是 CVE-2023-35189，因为它允许未经身份验证的用户上传任何文件，然后从 Web 浏览器再次查看该文件，从而导致命令注入。

在假设的攻击场景中，攻击者可以利用 CVE-2023-38257 和 CVE-2023-35763 以管理员身份登录 ScrutisWeb 管理控制台。

“从这里，恶意行为者将能够监控机群内各个 ATM 上的活动。该控制台还允许将 ATM 置于管理模式、向它们上传文件、重新启动它们以及完全关闭它们的电源，”Synack 说。

此外，CVE-2023-35189 可用于删除 ScrutisWeb 上的日志文件以掩盖痕迹。

研究人员表示：“可能会从客户端基础设施中的这一立足点进行额外的利用，从而使其成为恶意行为者面向互联网的枢纽点。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7752.html