Cuatro vulnerabilidades de seguridad en el software de monitoreo de flotas de cajeros automáticos ScrutisWeb creado por Iagona podrían explotarse para acceder de forma remota a los cajeros automáticos, cargar archivos arbitrarios e incluso reiniciar las terminales.
Las deficiencias fueron descubiertas por Synack Red Team (SRT) luego de un compromiso con un cliente. Los problemas se han abordado en ScrutisWeb versión 2.1.38.
«La explotación exitosa de estas vulnerabilidades podría permitir que un atacante cargue y ejecute archivos arbitrarios», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en un aviso publicado el mes pasado.
ScrutisWeb es una solución basada en un navegador web para monitorear las flotas de cajeros automáticos bancarios y minoristas, lo que incluye recopilar el estado del sistema de información, detectar alertas de poco papel, apagar o reiniciar una terminal y modificar datos de forma remota.
Los detalles de los cuatro defectos son los siguientes:
- CVE-2023-33871 (puntaje CVSS: 7.5): una vulnerabilidad de cruce de directorios que podría permitir que un usuario no autenticado acceda directamente a cualquier archivo fuera de la raíz web del servidor.
La solución adecuada de supervisión de empleados y DLP para cada necesidad
Conocer..
- CVE-2023-35189 (puntaje CVSS: 10.0): una vulnerabilidad de ejecución remota de código que podría permitir que un usuario no autenticado cargue una carga útil maliciosa y la ejecute.
- CVE-2023-35763 (puntaje CVSS: 5.5): una vulnerabilidad criptográfica que podría permitir que un usuario no autenticado descifre contraseñas cifradas en texto sin formato.
- CVE-2023-38257 (puntaje CVSS: 7.5): una vulnerabilidad de referencia de objeto directo inseguro que podría permitir que un usuario no autenticado vea la información del perfil, incluidos los nombres de inicio de sesión del usuario y las contraseñas cifradas.
La más grave de las fallas es CVE-2023-35189, ya que permite que un usuario no autenticado cargue cualquier archivo y luego lo vuelva a ver desde un navegador web, lo que resulta en la inyección de comandos.
En un escenario de ataque hipotético, un adversario podría armar CVE-2023-38257 y CVE-2023-35763 para iniciar sesión en la consola de administración de ScrutisWeb como administrador.
«Desde aquí, un actor malicioso podría monitorear las actividades en los cajeros automáticos individuales dentro de la flota. La consola también permite colocar los cajeros automáticos en modo de administración, cargar archivos en ellos, reiniciarlos y apagarlos por completo», dijo Synack.
Además, CVE-2023-35189 podría usarse para eliminar archivos de registro en ScrutisWeb para cubrir las pistas.
«Podría ocurrir una explotación adicional de este punto de apoyo en la infraestructura del cliente, lo que lo convierte en un punto de pivote de Internet para un actor malicioso», dijeron los investigadores.
Fuente: Thehackernews
