چهار آسیب پذیری امنیتی یافت شده در نرم افزار ScrutisWeb، دستگاه های خودپرداز را در معرض هک از راه دور قرار می دهد.این آسیب پذیری ها می توانند برای نفوذ از راه دور به دستگاه های خودپرداز، آپلود فایل های دلخواه و حتی راه اندازی مجدد پایانه ها مورد سوء استفاده قرار گیرند. آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) گفت: «استفاده موفقیت آمیز از این آسیب پذیری ها می تواند به مهاجم اجازه آپلود و اجرای فایل های دلخواه را بدهد». ScrutisWeb یک راه حل مبتنی بر مرورگر وب برای نظارت بر خودپرداز بانکی، از جمله جمع آوری وضعیت سیستم اطلاعات، تشخیص هشدارهای کم بودن کاغذ، خاموش کردن یا راه اندازی مجدد پایانه، و تغییر داده ها از راه دور است.
جزئیات چهار آسیب پذیری به شرح زیر است:
- CVE-2023-33871 (امتیاز CVSS: 7.5): یک آسیبپذیری پیمایش دایرکتوری که میتواند به کاربر احراز هویت نشده اجازه دهد مستقیماً به هر فایل خارج از وبروت سرور دسترسی داشته باشد.
- CVE-2023-35189 (امتیاز CVSS: 10.0): یک آسیبپذیری اجرای کد از راه دور که میتواند به کاربر احراز هویت نشده اجازه آپلود یک بار مخرب و اجرای آن را بدهد.
- CVE-2023-35763 (امتیاز CVSS: 5.5) : یک آسیبپذیری رمزنگاری که میتواند به کاربر احراز هویت نشده اجازه دهد رمزهای عبور رمزگذاریشده را در متن ساده رمزگشایی کند.
- CVE-2023-38257 (امتیاز CVSS: 7.5): یک آسیبپذیری مرجع مستقیم شی ناامن که میتواند به کاربر احراز هویت نشده اجازه دهد اطلاعات نمایه، از جمله نامهای ورود کاربر و رمزهای عبور رمزگذاریشده را مشاهده کند.
- CVE-2023-35189 شدیدترین آسیبپذیری است، زیرا به کاربری که احراز هویت نشده است این امکان را میدهد هر فایلی را آپلود کند و سپس دوباره آن را از یک مرورگر وب مشاهده کند در نتیجه دستور injection انجام شود.
در یک سناریوی حمله فرضی، یک حریف میتواند CVE-2023-38257 و CVE-2023-35763 را برای ورود به کنسول مدیریتی ScrutisWeb بهعنوان مدیر، مجهز کند. این کنسول همچنین اجازه میدهد تا دستگاههای خودپرداز را به حالت مدیریت رها کند، فایلها را در آنها آپلود کند، آنها را راهاندازی مجدد کند و آنها را به طور کامل خاموش کند."
علاوه بر این، CVE-2023-35189 می تواند برای حذف فایل های گزارش در ScrutisWeb برای پوشاندن مسیرها استفاده شود.
- 308