Bugs no ScrutisWeb podem expor caixas eletrônicos a hack remoto

Da Redação
15/08/2023

Várias vulnerabilidades descobertas no software de monitoramento de caixas eletrônicos ScrutisWeb, fabricado pela empresa francesa Iagona e utilizado mundialmente por várias instituições financeiras, podem ser exploradas para hackear caixas eletrônicos remotamente. As falhas de segurança foram descobertas por pesquisadores de segurança da Synack e foram corrigidas pela fornecedora em julho com o lançamento do ScrutisWeb versão 2.1.38.

O ScrutisWeb permite que as organizações monitorem caixas eletrônicos bancários ou de varejo a partir de um navegador web, permitindo que respondam rapidamente a problemas. A solução pode ser usada para monitorar hardware, reiniciar ou desligar um terminal, enviar e receber arquivos e modificar dados remotamente. Vale notar que os caixas eletrônicos podem incluir terminais de pagamento em uma rede de restaurantes.

Os pesquisadores da Synack identificaram quatro tipos de vulnerabilidades que receberam os identificadores CVE CVE-2023-33871, CVE-2023-38257, CVE-2023-35763 e CVE-2023-35189.

As falhas incluem um path traversal, desvio de autorização, chave criptográfica codificada e problemas arbitrários de upload de arquivos que podem ser explorados por invasores remotos e não autenticados. Path traversal, também conhecido como traversal de diretório, visa acessar arquivos e diretórios armazenados fora da pasta raiz da web. Operadores de ameaças podem explorar as falhas para obter dados do servidor —configurações, logs e bancos de dados —, executar comandos arbitrários e obter senhas de administrador criptografadas e descriptografá-las usando uma chave codificada.

Veja isso
Hack a caixas eletrônicos da General Bytes rouba US$ 1,6 mi
Falhas em drivers permitem ataques a caixas eletrônicos e terminais PoS

Os pesquisadores disseram que um invasor pode aproveitar as falhas para fazer login no console de gerenciamento ScrutisWeb como administrador e monitorar as atividades dos caixas eletrônicos conectados, ativar o modo de gerenciamento nos dispositivos, fazer upload de arquivos e reiniciá-los ou desligá-los. Os hackers também podem explorar a vulnerabilidade de execução de comando remoto para ocultar seus rastros excluindo arquivos relevantes.

“Pode ocorrer exploração adicional desse ponto de apoio na infraestrutura do cliente, tornando-o um ponto de articulação voltado para a Internet para um agente mal-intencionado”, explicou Neil Graves, um dos pesquisadores envolvidos no projeto. “Seria necessário um exame mais aprofundado para determinar se o software personalizado poderia ser carregado em caixas eletrônicos individuais para executar exfiltração de cartão bancário, redirecionamento de transferência Swift ou outras atividades maliciosas. No entanto, esses testes adicionais estavam fora do escopo da avaliação”, disse Graves.

Compartilhar: