Iagona tarafından yapılan ScrutisWeb ATM filo izleme yazılımındaki dört güvenlik açığı, ATM’lere uzaktan girmek, rastgele dosyalar yüklemek ve hatta terminalleri yeniden başlatmak için kullanılabilir.
Eksiklikler, bir müşteri katılımının ardından Synack Kırmızı Ekibi (SRT) tarafından keşfedildi. Sorunlar ScrutisWeb sürüm 2.1.38’de ele alınmıştır.
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) geçen ay yayınlanan bir danışma belgesinde, “Bu güvenlik açıklarının başarılı bir şekilde kullanılması, bir saldırganın rasgele dosyalar yüklemesine ve yürütmesine izin verebilir.”
ScrutisWeb, bankacılık ve perakende ATM filolarını izlemek için, bilgi sistemi durumunun toplanması, düşük kağıt uyarılarının algılanması, bir terminalin kapatılması veya yeniden başlatılması ve verilerin uzaktan değiştirilmesi dahil olmak üzere web tarayıcısı tabanlı bir çözümdür.
Dört kusurun detayları aşağıdaki gibidir –
- CVE-2023-33871 (CVSS puanı: 7.5) – Kimliği doğrulanmamış bir kullanıcının sunucunun web kökü dışındaki herhangi bir dosyaya doğrudan erişmesine izin verebilecek bir dizin geçişi güvenlik açığı.
- CVE-2023-35189 (CVSS puanı: 10.0) – Kimliği doğrulanmamış bir kullanıcının kötü amaçlı bir yük yükleyip yürütmesine izin verebilecek bir uzaktan kod yürütme güvenlik açığı.
- CVE-2023-35763 (CVSS puanı: 5.5) – Kimliği doğrulanmamış bir kullanıcının şifrelenmiş parolaların şifresini düz metin olarak çözmesine izin verebilecek bir şifreleme güvenlik açığı.
- CVE-2023-38257 (CVSS puanı: 7.5) – Kimliği doğrulanmamış bir kullanıcının, kullanıcı oturum açma adları ve şifrelenmiş parolalar dahil olmak üzere profil bilgilerini görüntülemesine izin verebilecek, güvenli olmayan bir doğrudan nesne referansı güvenlik açığı.
Kusurların en ciddisi CVE-2023-35189’dur, çünkü kimliği doğrulanmamış bir kullanıcının herhangi bir dosyayı yüklemesine ve ardından onu bir web tarayıcısından tekrar görüntülemesine olanak tanıyarak komut enjeksiyonuna neden olur.
Varsayımsal bir saldırı senaryosunda, bir düşman, ScrutisWeb yönetim konsolunda yönetici olarak oturum açmak için CVE-2023-38257 ve CVE-2023-35763’ü silahlandırabilir.
Synack, “Buradan, kötü niyetli bir aktör, filo içindeki bireysel ATM’lerdeki etkinlikleri izleyebilir. Konsol, ATM’lerin yönetim moduna alınmasına, bunlara dosya yüklenmesine, yeniden başlatılmasına ve tamamen kapatılmasına da olanak tanır” dedi.
Ayrıca CVE-2023-35189, izleri örtmek için ScrutisWeb’deki günlük dosyalarını silmek için kullanılabilir.
Araştırmacılar, “Müşterinin altyapısındaki bu dayanaktan ek istismar meydana gelebilir ve bu da bunu kötü niyetli bir aktör için internete dönük bir pivot noktası haline getirir” dedi.