複数メーカーの「ATM」に脆弱性 - 預金不正引出や乗っ取りのおそれ
NCRやDiebold Nixdorfが提供する「自動預け払い機(ATM)」に脆弱性が判明した。いずれも悪用には機器に対して物理的なアクセスが必要となるが、預金の不正な引き出しなど重大な影響を与えるおそれがあり、セキュリティ機関が注意を呼びかけている。
特定バージョンの「APTRA XFS」が動作する「NCR SelfServ ATM」には、預金の不正な引き出しや任意のコード実行など2件の脆弱性が存在。機器から金銭が不正に引き出されたりや任意のコードを実行されるおそれがある。
具体的には、機器コンポーネントとホストコンピューター間の通信バスに対する物理的な攻撃に脆弱で、USB HID通信において完全性が保証されておらず、バッファーオーバーフローが生じる脆弱性「CVE-2020-9063」や、攻撃者がセッションキーを生成できる脆弱性「CVE-2020-10123」が存在するという。
また「NCR SelfServ ATM」に「Bunch Note Accepter(BNA)」を搭載している場合、「BNA」とホストコンピュータ間の通信が保護されておらず、盗聴や改ざんが可能で、預金額を操作されるおそれがある「CVE-2020-10124」をはじめ、脆弱性3件が含まれる。
(Security NEXT - 2020/08/25 )
ツイート
関連リンク
- CERT/CC:Diebold Nixdorf ProCash 2100xe USB ATM does not adequately secure communications between CCDM and host
- CERT/CC:NCR SelfServ ATM dispenser software contains multiple vulnerabilities
- CERT/CC:NCR SelfServ ATM BNA contains multiple vulnerabilities
- JVN:NCR SelfServ ATM における複数の脆弱性
- JVN:NCR SelfServ ATM BNAにおける複数の脆弱性
- JVN:Diebold Nixdorf ProCash 2100xe USB ATMにおける暗号化の欠如に関する脆弱性
- CERT/CC
- jVN
PR
関連記事
「Chromium」ゼロデイ脆弱性、Macに影響 - 米当局が注意喚起
「Plesk」Linux版に権限昇格の脆弱性 - アップデートで修正
ウェブメール「Roundcube」にXSSなど脆弱性 - 更新を強く推奨
「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を
「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み
地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局
「pgAdmin4」リストア処理にRCE脆弱性 - 2カ月連続で判明
地理空間データを活用する「GeoServer」の脆弱性攻撃に注意
