Facebook加入
LINE加入
2021/12/25
E安全7月29日訊 美國西雅圖網路安全公司IOActive 7月26日發布重要安全公告,詳述了迪堡(Diebold)Opteva ATM機中存在物理與認證繞過問題。
IOActive發現迪堡AFD平台Opteva ATM機存在兩大漏洞,如果這兩個漏洞被結合利用,可能會讓未經授權的攻擊者從ATM設備中提取現金。
由於ATM機將安全系統與操作系統分開,攻擊者必須組合利用這兩大漏洞。部署AFD平台的Opteva 系列ATM機上層櫃放的是操作系統,下層則為安全系統,且各自均具備獨立的驗證體系
研究人員首先得通過物理手段訪問內部計算機,即在ATM揚聲器孔插入金屬桿,提起金屬鎖桿打開包含計算機的ATM上層櫃,之後直接訪問安全部分的AFD控制器。但他們仍需利用第二個漏洞才能提取現金。
為此,IOActive對AFD協議和固件進行了逆向工程改造。這樣一來,研究人員便能解密認證協議,之後更無需正確的認證便能實現通信。簡而言之,這兩大漏洞允許攻擊者冒充未經身份驗證的用戶,並訪問安全系統。
由於這個過程不需要具備設備相關專業知識,IOActive總結稱,只要設備未被修復,訪問其中一台設備的攻擊者能對控制器協議進行逆向工程,從而有效繞過認證並從其它設備提取現金。
大多數設備廠商對修復漏洞不太熱衷
然而令人不安的是,IOActive尚不清楚漏洞是否被修復。IOActive 2016年2月向迪堡上報了該問題,但2017年1月仍未獲得公開披露漏洞的許可。
2017年2月,也就是首次通知迪堡一年後,迪堡公司給予回復,並收到IOActive提供的跟蹤日誌。當IOActive跟進事情進展時,卻最終被告知測試的系統非常老舊(2008/2009 年),系統未經更新。因此,IOActive提出重新測試最新固件的要求時,卻被無視。
Diebold選擇鍥而不捨繼續跟進,直到時隔18個月之後,也就是2017年7月26日,IOActive決定公開漏洞。目前尚不清楚設備是否已被修復,或較新版本的固件是否易遭受攻擊。
IOActive發布的漏洞公告地址,請戳!
相關閱讀:
ATM攻擊新浪潮——紅外插入式偽造卡槽正式登場
[圖]ATM機上那些喪心病狂的攝像頭,一定要當心
黑客用U盤啟動軟體讓印度ATM機吐錢,Windows XP再中招
E安全註:本文系E安全獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。聯繫方式:① 微信號zhu-geliang ②郵箱[email protected]
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考,歡迎關注微信公眾號「E安全」(EAQapp),或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。
熱門推薦
留言回覆
