美國西雅圖網(wǎng)絡安全公司IOActive 7月26日發(fā)布重要安全公告,詳述了迪堡(Diebold)Opteva ATM機中存在物理與認證繞過問題。
IOActive發(fā)現(xiàn)迪堡AFD平臺Opteva ATM機存在兩大漏洞,如果這兩個漏洞被結合利用,可能會讓未經(jīng)授權的攻擊者從ATM設備中提取現(xiàn)金。
由于ATM機將安全系統(tǒng)與操作系統(tǒng)分開,攻擊者必須組合利用這兩大漏洞。部署AFD平臺的Opteva 系列ATM機上層柜放的是操作系統(tǒng),下層則為安全系統(tǒng),且各自均具備獨立的驗證體系
研究人員首先得通過物理手段訪問內(nèi)部計算機,即在ATM揚聲器孔插入金屬桿,提起金屬鎖桿打開包含計算機的ATM上層柜,之后直接訪問安全部分的AFD控制器。但他們?nèi)孕枥玫诙€漏洞才能提取現(xiàn)金。
為此,IOActive對AFD協(xié)議和固件進行了逆向工程改造。這樣一來,研究人員便能解密認證協(xié)議,之后更無需正確的認證便能實現(xiàn)通信。簡而言之,這兩大漏洞允許攻擊者冒充未經(jīng)身份驗證的用戶,并訪問安全系統(tǒng)。
由于這個過程不需要具備設備相關專業(yè)知識,IOActive總結稱,只要設備未被修復,訪問其中一臺設備的攻擊者能對控制器協(xié)議進行逆向工程,從而有效繞過認證并從其它設備提取現(xiàn)金。
大多數(shù)設備廠商對修復漏洞不太熱衷
然而令人不安的是,IOActive尚不清楚漏洞是否被修復。IOActive 2016年2月向迪堡上報了該問題,但2017年1月仍未獲得公開披露漏洞的許可。
2017年2月,也就是首次通知迪堡一年后,迪堡公司給予回復,并收到IOActive提供的跟蹤日志。當IOActive跟進事情進展時,卻最終被告知測試的系統(tǒng)非常老舊(2008/2009 年),系統(tǒng)未經(jīng)更新。因此,IOActive提出重新測試最新固件的要求時,卻被無視。
Diebold選擇鍥而不舍繼續(xù)跟進,直到時隔18個月之后,也就是2017年7月26日,IOActive決定公開漏洞。目前尚不清楚設備是否已被修復,或較新版本的固件是否易遭受攻擊。
京公網(wǎng)安備 11010502049343號