Iagona-ի կողմից ստեղծված ScrutisWeb ATM ծրագրային անվտանգության չորս հիմնական խոցելիությունները կարող են չարաշահվել՝ remote ձևաչափով բանկոմատների վրա հարձակումներ իրականացնելու և կամայական ֆայլեր վերբեռնելու նպատակով:
Խոցելիությոնները հայտնաբերվել են Synack Red Team-ի (SRT) կողմից: Հայտնաբերված խնդիրները լուծվել են դեռևս միայն ScrutisWeb 2.1.38 տարբերակում:
ScrutisWeb-ը բանկոմատների համար նախատեսված browser-based լուծում է, որը ներառում է տեղեկատվական համակարգի ստատուսների հավաքագրումը, ծանուցումների հայտնաբերումը, տերմինալի անջատումը կամ վերագործարկումը և տվյալների remote փոփոխումը:
Հայտնաբերված 4 խոցելիությունները հետևյալն են՝
Խոցելիություններից ամենակրիտիկականը CVE-2023-35189-ն է, քանի որ այն կամայական օգտատիրոջ կարող է թույլ տալ վերբեռնել ցանկացած ֆայլ, այնուհետև վերադիտել այն վեբ բրաուզերից, ինչն էլ հանգեցնում է command injection-ի:
Հիպոթետիկ հարձակման սցենարի դեպքում հաքերները կարող են միաժամանակ կիրառել՝ CVE-2023-38257 և CVE-2023-35763 խոցելիությունները՝ որպես ադմինիստրատոր ScrutisWeb կառավարման վահանակ մուտք գործելու:
Դեռ ավելին, CVE-2023-35189-ը կարող է օգտագործվել ScrutisWeb-ի ֆայլերը ձևափոխման և դրանք առհասարակ ջնջելու համար:
«Հաճախորդի ենթակառուցվածքում foothold-ի շահագործում կարող է տեղի ունենալ, ինչն էլ հաքերների համար համակարգը դարձնում են internet-facing pivot հարթակ», – նշում են փորձագետները:
Աղբյուրը՝ https://thehackernews.com/
