ATM机群监控软件曝高危漏洞，可向ATM上传并执行任意文件

最新的网络安全观察中，ATM机群监控软件 ScrutisWeb 中曝出 4 个安全漏洞，可被利用于远程入侵ATM、上传任意文件，甚至重启终端。Synack 红队 (SRT) 在与客户接触后发现了这些漏洞。这些漏洞已在 ScrutisWeb 版本 2.1.38 中得到解决。

美国网络安全和基础设施安全局 (CISA)在上个月发布的一份公告中表示，成功利用这些漏洞可能会让攻击者上传并执行任意文件。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，ScrutisWeb是一种基于 Web 浏览器的解决方案，用于监控银行和零售 ATM 机群，包括收集信息系统状态、检测纸张不足警报、关闭或重新启动终端以及远程修改数据。

这4个安全漏洞的详情如下：

• CVE-2023-33871（CVSS 评分：7.5） – 目录遍历漏洞，可能允许未经身份验证的用户直接访问服务器 webroot 之外的任何文件。
• CVE-2023-35189（CVSS 评分：10.0） – 一个远程执行代码漏洞，可能允许未经身份验证的用户上传恶意负载并执行它。
• CVE-2023-35763（CVSS 评分：5.5） – 一个加密漏洞，可能允许未经身份验证的用户将加密密码解密为明文。
• CVE-2023-38257（CVSS 评分：7.5） – 一个不安全的直接对象引用漏洞，可能允许未经身份验证的用户查看配置文件信息，包括用户登录名和加密密码。

最严重的漏洞是 CVE-2023-35189，因为它允许未经身份验证的用户上传任何文件，然后从 Web 浏览器再次查看该文件，从而导致命令注入。

在假设的攻击场景中，攻击者可以利用 CVE-2023-38257 和 CVE-2023-35763 以管理员身份登录 ScrutisWeb 管理控制台。从这里，攻击者将能够监控机群内各个 ATM 上的活动。该控制台还允许将 ATM 置于管理模式、向它们上传文件、重新启动它们以及完全关闭它们的电源。

极牛攻防实验室表示，CVE-2023-35189 可用于删除 ScrutisWeb 上的日志文件以掩盖痕迹。攻击者可能会从客户端基础设施中的这一立足点进行额外的利用，从而使其成为恶意行为者面向互联网的枢纽点。