Yaakov's Group | Ciberseguridad

CERT / CC advierte sobre vulnerabilidades en cajeros automáticos de Diebold Nixdorf y NCR

Comparte este post en tus redes sociales

El Centro de Coordinación CERT (CERT / CC) de la Universidad Carnegie Mellon ha publicado alertas sobre varias vulnerabilidades que afectan a los cajeros automáticos (ATM) Diebold Nixdorf ProCash y NCR SelfServ.

Una vulnerabilidad en los cajeros automáticos USB Diebold Nixdorf ProCash 2100xe que ejecutan Wincor Probase versión 1.1.30, revela CERT / CC, podría ser abusada por un atacante con acceso físico a los componentes internos de la máquina para cometer la falsificación de depósitos.

El problema existe porque los dispositivos vulnerables no cifran, autentican ni verifican la integridad de los mensajes transmitidos entre el módulo de depósito de efectivo y cheques (CCDM) y la computadora host.

“Un atacante con acceso físico a los componentes internos del cajero automático puede interceptar y modificar mensajes, como la cantidad y el valor de la moneda que se está depositando, y enviar mensajes modificados a la computadora host”, se lee en la alerta CERT / CC.

Para cometer una falsificación de depósitos, un atacante tendría que realizar dos transacciones separadas. Primero, tendrían que depositar moneda real y modificar los mensajes transmitidos para indicar que se depositó una cantidad mayor, después de lo cual tendrían que retirar una cantidad aumentada artificialmente.

Diebold Nixdorf ha publicado una actualización para asegurar la comunicación entre el CCDM y la computadora host, y también publicó un documento que detalla los procedimientos para abordar la vulnerabilidad.

Los ataques físicos son posibles contra los cajeros automáticos NCR SelfServ que ejecutan APTRA XFS 04.02.01 y 05.01.00 también, CERT / CC revela en dos alertas separadas.

El primer problema (CVE-2020-10124) afecta el bus de comunicaciones entre la computadora host y el aceptador de notas (BNA), y existe porque la máquina no cifra, autentica ni verifica la integridad de los mensajes entre los dos componentes.

Los cajeros automáticos también utilizan certificados RSA de 512 bits para validar las actualizaciones de software BNA (CVE-2020-10125), que un atacante puede romper con la suficiente rapidez como para permitirle firmar archivos arbitrarios, omitir la lista blanca de aplicaciones y ejecutar código arbitrario en la máquina.

Debido a que el dispositivo no valida correctamente las actualizaciones de software para el BNA (CVE-2020-10126), un atacante con acceso físico podría ejecutar código arbitrario con privilegios del SISTEMA reiniciando la máquina para iniciar el proceso de actualización.

Los dispositivos que ejecutan APTRA XFS 06.08 ya no se ven afectados por estas vulnerabilidades. La actualización aumenta la fuerza de las claves RSA y aborda la omisión de la verificación de firma digital.

Otras dos vulnerabilidades afectan el bus de comunicaciones entre el componente del dispensador de moneda y la computadora host de los cajeros automáticos NCR SelfServ que ejecutan APTRA XFS 05.01.00 o anterior.

Las comunicaciones USB HID entre los dos no están autenticadas y su identidad no está protegida (CVE-2020-9063), lo que permite que un atacante físico provoque un desbordamiento del búfer para inyectar una carga útil maliciosa y ejecutar código arbitrario con privilegios de SISTEMA.

Además, debido a que el componente dispensador de moneda no autentica las solicitudes de generación de claves de sesión (CVE-2020-10123), el atacante podría generar una nueva clave de sesión y emitir comandos para dispensar moneda.

Con APTRA XFS 05.01 llegando al final de su vida útil en 2015, las máquinas que ejecutan software y hardware no compatibles deben actualizarse lo antes posible. Se ha publicado la actualización de seguridad del dispensador APTRA XFS 01.00.00 para los dispensadores S1 y S2.

Todas estas vulnerabilidades fueron identificadas e informadas por investigadores de seguridad asociados con Embedi, que en junio de 2018 fue sancionado por el Departamento del Tesoro de EE. UU. Porque Digital Security, que, a mayo de 2017, poseía o controlaba Embedi, ha brindado “soporte material y tecnológico ”Al Servicio Federal de Seguridad de Rusia (FSB).

Fuente: Security Week

Deja un comentario