ScrutisWeb 曝出严重漏洞,可远程控制全球 ATM
2023年年初,Synack Red Team (SRT) 成员 Neil Graves、Jorian van den Hout 和 Malcolm Stagg 发现了CVE-2023-33871、CVE-2023-38257、CVE-2023-35763 和 CVE-2023-35189 漏洞 。 2023年7月,总部位于法国的软件公司 Iagona 在其 ScrutisWeb 网络应用程序的 2.1.38 版本中修补了这些漏洞。 一直以来,Synack 红队(SRT)全球安全研究人员经常会在 Synack 客户的基础架构和网络服务器中发现漏洞,在某些 Synack 目标上,SRT 成员可以相互协作,最大限度地发挥广泛的技能组合。 在最近与 Synack 客户的一次合作中,SRT 某团队发现了 ScrutisWeb 中存在的软件缺陷,ScrutisWeb 是一种用于监控银行和零售 ATM 机群的安全解决方案。 ScrutisWeb的开发商Iagona表示,ScrutisWeb可通过任何浏览器访问,帮助全球各组织监控自动取款机,并在出现问题时缩短响应时间。ATM 机群可包括支票存款机等敏感设备以及连锁餐厅的支付终端。 ScrutisWeb 具有一系列功能: 重新启动或关闭一个终端或整个机群 检索银行服务信息 监控(ATM)银行卡读卡器 发送和接收文件(至 ATM) 远程修改数据(在自动取款机上) 目标枚举 Synack 客户在此次合作中有超过 1,000 个唯一 IP 地址需要评估。在初步侦查期间,安全研究人员注意到有一个网络服务器向访问者发送了一个超大的 23MB JavaScript 文件。该文件中包含一个允许客户端下载服务器 webroot 中完整路径的函数: this.window.location.href = “/Download.aspx?folder=” + name; 安全研究人员发现,提供”/”的文件夹名称会导致 ScrutisWeb 压缩整个网络根,并将其作为下载文件发送到浏览器。于是他们按照设计的功能使用该功能下载了网络根目录。在检查 Download.aspx 时发现它调用了 “Scrutis.Front.dll “库,该库似乎负责处理大部分用户功能。 CVE-2023-33871: 绝对路径遍历 安全研究人员还注意到 “Download.aspx “的参数为 “文件 “或 “文件夹”。同时,他们还很快就找到了真正有趣的部分,即处理单个文件下载的字符串: str = !path1.Contains(“:”) ? this.Server.MapPath(path1) : path1.Contains(“:”); 这段代码查看的是作为 URL 的 “file “参数传递给该方法的 “path1 “变量。如果参数中不包含冒号,网络服务器将返回与网络根相关的文件,例如,”https://example.com/Download.aspx?file=thisfile.txt “将下载位于 “https://example.com/thisfile.txt “的文件。但是,如果参数中包含冒号,网络服务器就会返回与系统相关的文件,例如 “https://www.example.com/Download.aspx?file=c:\file.txt” 将下载服务器上位于 “c:\file.txt “的文件。成功!我们可以从服务器上下载配置、日志和数据库。 CVE-2023-35189: 远程代码执行 安全研究人员进一步检查 Scrutis.Front.dll 后,发现了 AddFile() 方法。AddFile() 接受多部分表单 POST 请求,并将上传的文件存储到网络目录”/Files/telechar/”中。 这意味着未经身份验证的用户可以上传任何文件,然后通过网络浏览器再次查看。其中一个问题是,最终存放上传文件的目录已被配置为允许解释和执行上传的脚本。我们创建了一个运行简单命令 “ipconfig /all “的概念验证(poc.asp),并将其上传到服务器。随后,他们访问了 “https://[redacted]/poc.asp “网站,服务器执行了系统命令 “ipconfig /all “并返回了响应,成功命令注入。 通常,人们会认为 RCE 是漏洞利用链的高潮。在这种情况下,通过利用其余漏洞获取 ATM 控制器的用户访问权限,可以实现更大的恶意价值。可以在 Scrutis.Front.dll 中找到每个有漏洞的调用,并在未经身份验证的情况下使用。 CVE-2023-38257: 不安全的直接对象引用 安全研究人员发现 GetUserDetails 方法原型是将单个整数作为 HTTP POST 请求的输入。[HttpPost]public UIUser GetUserDetails([FromBody] int idUser) 同时, idUser 参数似乎是一个从数字 1 开始的连续整数值。通过向该函数发送数字为 1 的 POST,服务返回了用户 “administrateur “的信息,包括加密密码。 CVE-2023-35763 硬编码加密密钥 由于密码显然已加密,安全研究人员决定尝试逆向工程加密机制。在方法名称中搜索 “crypt “一词,显示了一个解密函数,该函数将密码文本作为输入,并返回一个明文 UTF8 字符串。该函数中有一行披露了明文字符串,该字符串被用作加密/解密用户密码的加密密钥: public static string Decrypt(string cipherString, bool useHashing) { … numArray = cryptoServiceProvider.ComputeHash(Encoding.UTF8.GetBytes(“ENCRYPTIONKEY”)); … return Encoding.UTF8.GetString(bytes); } 安全研究人员编写了一个简单的 python 脚本,它可以获取使用 CVE-2023-38257 发现的加密密码,并将密码解密为明文。至此已经可以以管理员身份登录 ScrutisWeb了。 影响 CVE-2023-38257 和 CVE-2023-35763 这两个漏洞让以管理员身份登录 ScrutisWeb 管理控制台成为可能。恶意行为者可以监控机群中各个自动取款机的活动。控制台还允许将 ATM 降为管理模式、上传文件、重新启动和完全关闭。需要进行进一步检查,以确定是否可以将定制软件上载到个别自动取款机上,以执行银行卡外渗、Swift 转账重定向或其他恶意活动。不过,此类额外测试不在评估范围之内。 CVE-2023-35189 还可用于清除 ScrutisWeb 上的日志,并删除恶意行为者曾在那里活动的证据。从客户端基础架构中的这一立足点可能会发生额外的漏洞利用,使其成为恶意行为者面向互联网的支点。 修复漏洞:更新至 ScrutisWeb 2.1.38 版 值得一提的是,Iagona 非常重视安全问题,在及时向研究人员通报进展的同时,还迅速解决了四个发现的问题。 转自Freebuf,原文链接:https://www.freebuf.com/news/374875.html 封面来源于网络,如有侵权请联系删除
安全研究人员为 ATM NFC 读卡器中存在的漏洞敲响警钟
据《连线》报道,IOActive安全研究员Josep Rodriquez警告说,许多现代ATM和POS系统中使用的NFC读卡器使它们容易受到攻击。这些缺陷使它们容易受到一系列问题的影响,包括被附近的NFC设备对撞攻击、作为勒索软件攻击的一部分而被锁定、甚至被黑客提取某些信用卡数据。 Rodriquez警告说,这些漏洞可能被用作所谓的”中奖”攻击的一部分,欺骗机器吐出现金。然而,这样的攻击只有在与其他漏洞的利用配对时才有可能,《连线》说,由于IOActive与受影响的ATM机供应商有保密协议,他们无法公布这种攻击的视频。 依靠机器的NFC读卡器的漏洞,黑客攻击相对容易执行。虽然以前的一些攻击依赖于使用医疗内窥镜等设备来探测机器,但Rodriquez只需在机器的NFC读卡器前挥动运行其软件的Android手机,就可以利用机器可能存在的任何漏洞。 在与《连线》分享的一段视频中,Rodriquez仅仅通过在NFC读卡器上挥动他的智能手机,就使马德里的一台ATM机显示出错误信息,然后,该机器对举到读卡器上的真实信用卡反而变得没有反应。 这项研究强调了这些系统的几个大问题。首先是许多NFC读卡器容易受到相对简单的攻击,例如,在某些情况下,读卡器没有验证它们接收到多少数据,这意味着攻击者能够用过多的数据淹没系统并破坏其内存,作为 “缓冲区溢出”攻击的一部分。 第二个问题是,即使发现了问题,ATM的厂家对世界各地使用的数十万台机器应用补丁的速度也会很慢。通常情况下,需要对机器进行物理上的实际访问才能应用更新,而且许多机器并没有定期收到安全补丁。例如,一家公司表示,虽然已经在2018年给指定型号的机器打了补丁,但研究人员依然能够验证该攻击在2020年的一家餐厅中起到作用,这证明安全更新推送实际上并没有很有效执行。 Rodriquez计划在未来几周的网络研讨会上介绍他的发现,以强调他所说的嵌入式设备的安全措施到底有多欠缺。 (消息及封面来源:cnBeta)
恶意软件可让 ATM机按需吐出所有现金
近日某个上午,德国弗莱堡市的一位银行职员发现,某台 ATM 机似乎出现了问题。其控制面板上收到了一条奇怪的消息 ——“Ho!”可惜的是,这位员工没有立即意识到,黑客已经将恶意软件植入了自动柜员机中 —— 这也是所谓的“劫持”攻击的一部分。最终结果是,正如大家在许多影视作品中所见到的那样 —— 这台 ATM 吐出了一堆现金,直至钞箱被彻底清空。 资料图(来自:Wincor Nixdorf,via BGR) 通过 Motherboard 与一家德国新闻媒体联合进行的调查,可知黑客是如何逐步对运行过时软件、安全性较低的计算机进行攻击的。 有关部门显然不希望在事情经过上着墨太多,但多个消息来源证实,这种类型的 ATM 攻击,正在全世界范围内(包括美国地区)呈现上升趋势。这意味着银行的安防系统脆弱不堪,且基本没准备对此进行处理。 通常情况下,攻击者会先从 ATM 机上的访问点(如 USB 接口)下手,以安装恶意软件。相关攻击代码的成本竟然也十分低廉 —— 仅需 1000 美元,即可买到在欧洲各地进行肆意攻击的俄罗斯软件。 软件截图(来自:@CRYPTOINSANE / Twitter) 尽管好莱坞影视作品中经常出现让 ATM 机吐出大量现金的场景,但不幸的是,现实情况也是如此。 有消息人士向参与调查的记者透露,某些不良行为者在出售代码,使得任何人只要肯出钱购买,基本上都有攻破 ATM 机的可能。 网络安全专家 David Sancho 认为,这件事不会局限于世界的某个特定角落,而是在全球范围内都有可能发生。 (稿源:cnBeta,封面源自网络。)
调查:85% 的 ATM 机可以在 15 分钟内通过网络被攻破
据外媒报道,由NCR、Diebold Nixdorf、GRGBanking生产和被银行使用的大部分ATM机被证实很容易被远程或本地潜在攻击者攻击,并且大部分的攻击所需时间不超过15分钟。来自Positive Technologies的分析显示,ATM机在从外围设备和网络安全不充足到系统/设备不当配置以及应用程序控制安全漏洞/配置错误等4种安全问题下极易受到影响。 据悉,在NCR、Diebold Nixdorf、GRGBanking制造的ATM机中约有85%都极易在潜在攻击者进入ATM网络15分钟后被攻破。 Positive Technologies公司表示,如果攻击者是银行或互联网供应商的雇员,他们可以通过远程发起攻击,而如果不是则需要攻击者亲自到场打开ATM机,拔掉以太网电缆并将恶意设备连接到调制解调器(或用这样的设备替换调制解调器)。 在进入ATM后,攻击者就可以使用针对ATM或运行在ATM上的服务的直接攻击或中间人攻击,之后他们就可以拦截和修改数据包以欺骗处理中心响应并控制被包围的设备。 大多数接受测试的ATM机在与处理中心交换的信息中不具备充分的数据保护,虽然它们都带有防火墙保护,但不幸的是它们的防火墙保护配置都很差。 Positive Technologies指出,在许多情况下,外围设备安全性不足的原因是外围设备和ATM操作系统之间缺乏认证。因此,犯罪分子能够利用遭恶意软件感染的ATM机访问这些设备或直接将他们自己的设备连接到分发器或读卡器上,之后,犯罪分子就可以窃取现金或拦截银行卡数据。 稿源:cnBeta,封面源自网络;
FBI 向银行业发警告:有黑客计划利用漏洞在 ATM 大量取钞
美国联邦调查局(FBI)近期向银行业发布警告,称网络犯罪分子可以绕过 ATM 取款机上的各种安全措施,从而让 ATM 非法吐钞。FBI 表示获得尚未证实的匿名线报,称网络犯罪份子计划在未来几天内对全球 ATM 取款机发起这种攻击,目前仍不确定漏洞所在,可能和一些发卡机构违规操作有关。 图片来自于 U.S. Air Force photo by Tech. Sgt. Josef Cole 这通常称之为“unlimited operation”,通过安装恶意软件来破坏金融机构或者而支付终端,允许黑客进行网络访问获得管理员级别的访问权限。一旦黑客攻入该系统,那么就能关闭 ATM 提款金额(和交易限额)上的限制,甚至能够提取数百万的大额资金。 稿源:cnBeta.COM,封面源自网络;
新型 ATM 恶意软件 ATMJackpot 出现,专家预测即将在野外现身
Netskope 威胁研究实验室发现了一种新的 ATM 恶意软件 ATMJackpot。该恶意软件似乎源于香港,并于 2018 年 3 月 28 日在二进制文件中有时间戳。这种恶意软件很可能还在开发中。 与以前发现的恶意软件相比,此恶意软件的系统占用空间更小。 目前还不清楚 ATMJackpot 恶意软件的攻击媒介,通常是这种恶意软件是通过 ATM 上的 USB 手动安装的,还是从受损的网络下载的。 ATMJackpot 恶意软件首先将 Windows 类名称“ Win ”注册到恶意软件活动的过程中,然后恶意代码创建该窗口,在窗口中填充选项并启动与 XFS 管理器的连接。XFS 管理器实现访问 API,以控制来自不同供应商的 ATM 设备。恶意软件开启与服务提供商和注册的会话以监控事件,然后打开与自动提款机,读卡器和密码键盘服务提供商的会话。 一旦与服务提供商的会话打开,恶意软件就能够监视事件并发出命令。专家认为,恶意软件的作者将继续改进它,他们预计它很快就会在野外发现。 美国特勤局警告称,网络犯罪分子针对美国的 ATM 机器,迫使他们通过“ jackpotting ”攻击吐出数百美元,近几年 ATM 机累积奖金攻击的数量正在增加。 2017 年 5 月,欧洲刑警组织在欧洲各地逮捕了 27 起针对自动柜员机的头奖攻击案,2017 年 9 月,欧洲警察组织警告说,ATM 攻击正在增加。犯罪组织正在通过银行的网络瞄准 ATM 机,这些业务涉及钱币骡子的出钱。此外,几周前,据称 Carbanak 集团的负责人在西班牙被警方逮捕,因其涉嫌在一家银行网络主席窃取约 8.7 亿英镑(10 亿欧元)。 消息来源:东方安全,封面源自网络;
多国刑警联合行动:网络犯罪团伙 Carbanak 头目被捕,曾以恶意软件攻击全球金融机构获利 10 亿欧元
据外媒报道,利用 Carbanak 和 Cobalt 木马攻击全球 100 多家金融机构的 Carbanak 犯罪团伙头目近期在西班牙阿利坎特市被警方逮捕,该行动由欧洲刑警组织、FBI、西班牙警方、以及罗马尼亚、白俄罗斯、中国台湾的网络安全公司、金融机构和执法机构联合开展。 自 2013 年来,Carbanak 犯罪团伙就开始利用他们设计的恶意软件(Carbanak 、 Cobalt )开展攻击活动,至今已有 40 多个国家和地区的银行、电子支付系统和金融机构受到影响,导致金融行业累计损失超过 10 亿欧元。(犯罪团伙仅使用 Cobalt 每次就能窃取 1000 万欧元。) 在所有这些攻击活动中,Carbanak 犯罪团伙都使用了类似的操作手法:他们冒充合法公司向银行职员发送带有恶意附件的钓鱼邮件,进而远程控制职员受感染的设备、访问内部银行网络并感染控制 ATM 服务器。 以下为 Carbanak 犯罪团伙套钱的方式: – 自动取款机被远程指示在预先确定的时间发放现金,其中一名团伙成员在机器旁等待自动提款机吐钱; -电子支付网络用于将资金转移到犯罪账户中; -修改账户信息的数据库,使银行账户的余额增多; 然后 Carbanak 犯罪团伙借助加密货币洗钱,通过利用与加密货币钱包挂钩的预付卡购买豪车和房屋等。 欧洲刑警组织负责人史蒂文威尔逊表示, 这次联合行动不仅对国际刑警组织来说是巨大的胜利,也对以后打击网络犯罪的国际联合行动产生了重大影响。 欧洲刑警组织发布的安全公告: 《 MASTERMIND BEHIND EUR 1 BILLION CYBER BANK ROBBERY ARRESTED IN SPAIN》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
ATM 厂商发出警告:黑客可迫使美国 ATM 机自动吐钞
据媒体报道,全球最大的两家 ATM 制造商 Diebold Nixdorf 和 NCR 发出警告称,网络犯罪分子正在瞄准美国的 ATM 机,利用工具迫使其自动吐钞。这两家 ATM 制造商尚未披露是否有银行因此受害,也没有透露具体损失的资金。 这种名为 jackpotting 的黑客机制最近几年在世界各地越来越多,但由于受害者和警方通常不肯披露细节,所以很难确定具体损失的资金。 安全网站 Kreb on Security 上周六早些时候报道了这些攻击,并表示这些事件在去年就已经开始。 NCR 上周五发出警告称,这些案件是首批在美国确认的 jackpotting 盗窃案。但该公司的设备并未成为最近的攻击目标,但他们仍对整个 ATM 行业感到担忧。 Diebold Nixdorf 也在上周五发布的独立声明中称,美国政府已经向该公司发出警告称,黑客瞄准了他们的一个名为 Opteva 的 ATM 机型,但这款设备几年前就已经停产。 美国特勤局在发送银行的机密警告中称,黑客通常会瞄准位于药店和商超等地的独立 ATM 。但美国特勤局官员拒绝对此置评,美国联邦调查局官员也尚未作出回应。 稿源:cnBeta、,稿件以及封面源自网络;
加拿大出现升级版 ATM 红外卡槽盗刷器 “Shimmers”,执法部门提醒全球银行机构加强防范
网络安全专家 Brian Krebs 于今年 7 月发布一份报告,指出黑客利用红外插入式卡槽器针对美国俄克拉荷马城至少四家银行的 ATM 设备展开网络攻击活动。据悉,插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备,隐藏在 ATM 机卡槽内捕获信用卡数据并存储在嵌入式闪存中。虽然该设备构造简单,但主要通过天线将窃取的私人数据传输至隐藏在 ATM 机外部的微型摄像头中。 近期,加拿大安全专家发现黑客正利用一款名为 “Shimmers” 的升级版红外插入卡槽器开展新一轮攻击活动,旨在窃取目标用户基于芯片的信用卡和借记卡数据。 据悉,Coquitlam RCMP 经济犯罪部门的研究人员在一次例行的日常检查中发现一款测试卡正插在 ATM 机终端运行。随后,当他们将该终端打开时,看到 4 款超薄的塑料芯片,经检测发现均附带非法获取的信用卡或借记卡数据。研究人员表示,如果这些数据被成功窃取,其极有可能被用于伪造信用卡或借记卡后获取用户资金。 调查显示,Shimmers 已经被用来攻击位于零售商店和其他公共区域的 POS 设备,且都是通过存储在芯片背面磁条上的纯文本数据实现。另一方面,Shimmers 在信用卡芯片与 ATM 机上的芯片读取器之间存在一个夹层,使其可以在芯片上记录数据并由底层机器读取。 虽然此类攻击目前只在加拿大检测发现,但执法部门正警示全球的金融机构加强安全防御措施。此外,ATM 巨头 NCR 公司曾在一份警告中写道:“黑客攻击 ATM 设备是利用了一个原理,即部分金融机构没有实现 EMV 芯片卡标准,从而导致黑客在钻取漏洞后可以窃取用户大量资金。” 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
新型 ATM 恶意软件 Cutlet Maker 于暗网出售,仅用 5000 美元即可入侵特定 ATM
据外媒 10 月 17 日报道,卡巴斯基实验室研究人员于 5 月发现黑客组织在暗网论坛 ATMjackpot 出售一款新型 ATM 恶意软件 Cutlet Maker,可以通过侵入特定 ATM 供应商的 API 接口后清空设备所有现金,而无需与银行用户及其数据进行交互。目前,该恶意软件售价 5000 美元。 调查显示,Cutlet Maker 起先于暗网 AlphaBay 出售,但随着美国 FBI 的审核调查后,该网站于今年 7 月关闭。不过,知情人士透露,该恶意软件开发人员又重新创建了一个暗网市场 ATMjackpot,专门出售 Cutlet Maker。此外,有消息指出,该恶意软件工具包除了所需设备、目标 ATM 机模型以及恶意软件操作的提示与技巧外,还提供了一份详细的手册说明以便用户轻松查看。 研究人员表示,该恶意软件可分为 CUTLET MAKER 与 Stimulator 两大模块: CUTLET MAKER:主要负责侵入 ATM 机的 API 接口后分配资金。其程序由开发人员采用 Delphi 编写,并利用 VMProtect 等多个应用进行包装。 Stimulator:该模块主要用于获取 ATM 机转储内容并查询设备余额,其程序也采用 Delphi 编写,并使用与 “CUTLET MAKER” 相同的方式进行包装。 据称,CUTLET MAKER 和 Stimulator 显示了网络犯罪分子如何使用合法的专有数据库和恶意代码从 ATM 中分配资金。不过,此类恶意软件不会直接影响到银行客户,因为它只是为了从特定供应商的 ATM 中窃取现金。目前,研究人员建议各银行供应商加强 ATM 设备的防御措施以防黑客攻击。 附:卡巴斯基原文报告《 ATM恶意软件在暗网出售 》 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。