最新的网络安全观察中,ATM机群监控软件 ScrutisWeb 中曝出 4 个安全漏洞,可被利用于远程入侵ATM、上传任意文件,甚至重启终端。Synack 红队 (SRT) 在与客户接触后发现了这些漏洞。这些漏洞已在 ScrutisWeb 版本 2.1.38 中得到解决。
美国网络安全和基础设施安全局 (CISA)在上个月发布的一份公告中表示,成功利用这些漏洞可能会让攻击者上传并执行任意文件。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,ScrutisWeb是一种基于 Web 浏览器的解决方案,用于监控银行和零售 ATM 机群,包括收集信息系统状态、检测纸张不足警报、关闭或重新启动终端以及远程修改数据。
这4个安全漏洞的详情如下:
- CVE-2023-33871(CVSS 评分:7.5) – 目录遍历漏洞,可能允许未经身份验证的用户直接访问服务器 webroot 之外的任何文件。
- CVE-2023-35189(CVSS 评分:10.0) – 一个远程执行代码漏洞,可能允许未经身份验证的用户上传恶意负载并执行它。
- CVE-2023-35763(CVSS 评分:5.5) – 一个加密漏洞,可能允许未经身份验证的用户将加密密码解密为明文。
- CVE-2023-38257(CVSS 评分:7.5) – 一个不安全的直接对象引用漏洞,可能允许未经身份验证的用户查看配置文件信息,包括用户登录名和加密密码。
最严重的漏洞是 CVE-2023-35189,因为它允许未经身份验证的用户上传任何文件,然后从 Web 浏览器再次查看该文件,从而导致命令注入。
在假设的攻击场景中,攻击者可以利用 CVE-2023-38257 和 CVE-2023-35763 以管理员身份登录 ScrutisWeb 管理控制台。从这里,攻击者将能够监控机群内各个 ATM 上的活动。该控制台还允许将 ATM 置于管理模式、向它们上传文件、重新启动它们以及完全关闭它们的电源。
极牛攻防实验室表示,CVE-2023-35189 可用于删除 ScrutisWeb 上的日志文件以掩盖痕迹。攻击者可能会从客户端基础设施中的这一立足点进行额外的利用,从而使其成为恶意行为者面向互联网的枢纽点。
极牛网精选文章《ATM机群监控软件曝高危漏洞,可向ATM上传并执行任意文件》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/25206.html