Diversas falhas encontradas no Software ScrutisWeb expõe caixas eletrônicos a ataques remotos de hackers
16 de Agosto de 2023

Quatro vulnerabilidades de segurança no software de monitoramento de caixas eletrônicos ScrutisWeb, feito pela Iagona, poderiam ser exploradas para invadir remotamente caixas eletrônicos, carregar arquivos arbitrários e até reiniciar os terminais.

As deficiências foram descobertas pela Synack Red Team (SRT) após um envolvimento com um cliente.

Os problemas foram resolvidos na versão 2.1.38 do ScrutisWeb.

"A exploração bem-sucedida dessas vulnerabilidades poderia permitir que um invasor carregue e execute arquivos arbitrários", disse a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) em um aviso publicado no mês passado.

ScrutisWeb é uma solução baseada em navegador da web para monitoramento de frota de caixas eletrônicos bancários e de varejo, incluindo obtenção de status do sistema de informação, detecção de alertas de baixo papel, desligamento ou reinício de um terminal e modificação remota de dados.

Os detalhes das quatro falhas são os seguintes -

CVE-2023-33871 (pontuação CVSS: 7.5) - Uma vulnerabilidade de travessia de diretório que poderia permitir que um usuário não autenticado acesse diretamente qualquer arquivo fora da raiz do servidor web.

CVE-2023-35189 (pontuação CVSS: 10.0) - Uma vulnerabilidade de execução de código remoto que poderia permitir a um usuário não autenticado fazer upload de um payload malicioso e executá-lo.

CVE-2023-35763 (pontuação CVSS: 5.5) - Uma vulnerabilidade criptográfica que poderia permitir a um usuário não autenticado descriptografar senhas criptografadas em texto simples.

CVE-2023-38257 (pontuação CVSS: 7.5) - Uma vulnerabilidade de referência direta a objeto inseguro que poderia permitir que um usuário não autenticado veja informações de perfil, incluindo nomes de login do usuário e senhas criptografadas.

A falha mais grave é a CVE-2023-35189 , pois ela permite que um usuário não autenticado carregue qualquer arquivo e depois o visualize novamente a partir de um navegador da web, resultando em injeção de comando.

Em um cenário hipotético de ataque, um adversário poderia utilizar a CVE-2023-38257 e a CVE-2023-35763 para acessar o console de gerenciamento do ScrutisWeb como administrador.

"A partir daqui, um ator mal-intencionado seria capaz de monitorar atividades em caixas eletrônicos individuais dentro da frota.

O console também permite colocar caixas eletrônicos em modo de gerenciamento, carregar arquivos neles, reiniciá-los e desligá-los completamente", disse a Synack.

Além disso, a CVE-2023-35189 poderia ser usada para apagar arquivos de log no ScrutisWeb para encobrir os rastros.

"Explorações adicionais a partir desta posição na infraestrutura do cliente poderiam ocorrer, transformando isto em um ponto de pivô voltado para a internet para um ator mal-intencionado", disseram os pesquisadores.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...