Банкоматы под защитой: Iagona выпустила обновление ScrutisWeb для АТМ-терминалов

Компания Iagona выпустила обновление ПО ScrutisWeb после того, как исследователи обнаружили четыре опасных уязвимости в системе банкоматов. Эти дефекты открывают возможности для взлома, загрузки вредоносных файлов и перезагрузки терминалов удаленно неавторизованными пользователями.

Агентство CISA опубликовало сообщение об этих угрозах в прошлом месяце.

Недостатки в системе мониторинга ATM-терминалов ScrutisWeb выявили эксперты Synack Red Team, когда тестировали программное обеспечение по заданию клиента.

ScrutisWeb использует веб-интерфейс для сбора данных о работе терминалов и управления ими. Таким образом можно удаленно отслеживать состояние системы, получать оповещения, перезагружать устройства и вносить изменения в их конфигурацию.

Обнаруженные уязвимости открывают злоумышленникам расширенный доступ к функциям программы. CVE-2023-33871 позволит получить файлы за пределами каталога приложения. CVE-2023-35189 поможет выполнить произвольный код для взлома извне. CVE-2023-35763 делает доступными в открытом виде ранее зашифрованные пароли пользователей. CVE-2023-38257 дает прямой доступ к логинам и паролям.

Особенно опасна уязвимость CVE-2023-35189, так как с ее помощью в можно внедрить любую программу. Эксперты предупреждают, что теперь злоумышленники могут эксплуатировать и другие дефекты, чтобы получить права администратора в ScrutisWeb.

Специалисты советуют организациям как можно скорее перейти на версию ScrutisWeb 2.1.38.