複数メーカーの「ATM」に脆弱性 - 預金不正引出や乗っ取りのおそれ
NCRやDiebold Nixdorfが提供する「自動預け払い機(ATM)」に脆弱性が判明した。いずれも悪用には機器に対して物理的なアクセスが必要となるが、預金の不正な引き出しなど重大な影響を与えるおそれがあり、セキュリティ機関が注意を呼びかけている。
特定バージョンの「APTRA XFS」が動作する「NCR SelfServ ATM」には、預金の不正な引き出しや任意のコード実行など2件の脆弱性が存在。機器から金銭が不正に引き出されたりや任意のコードを実行されるおそれがある。
具体的には、機器コンポーネントとホストコンピューター間の通信バスに対する物理的な攻撃に脆弱で、USB HID通信において完全性が保証されておらず、バッファーオーバーフローが生じる脆弱性「CVE-2020-9063」や、攻撃者がセッションキーを生成できる脆弱性「CVE-2020-10123」が存在するという。
また「NCR SelfServ ATM」に「Bunch Note Accepter(BNA)」を搭載している場合、「BNA」とホストコンピュータ間の通信が保護されておらず、盗聴や改ざんが可能で、預金額を操作されるおそれがある「CVE-2020-10124」をはじめ、脆弱性3件が含まれる。
(Security NEXT - 2020/08/25 )
ツイート
関連リンク
- CERT/CC:Diebold Nixdorf ProCash 2100xe USB ATM does not adequately secure communications between CCDM and host
- CERT/CC:NCR SelfServ ATM dispenser software contains multiple vulnerabilities
- CERT/CC:NCR SelfServ ATM BNA contains multiple vulnerabilities
- JVN:NCR SelfServ ATM における複数の脆弱性
- JVN:NCR SelfServ ATM BNAにおける複数の脆弱性
- JVN:Diebold Nixdorf ProCash 2100xe USB ATMにおける暗号化の欠如に関する脆弱性
- CERT/CC
- jVN
PR
関連記事
NEC製クラスタリングソフト「CLUSTERPRO X」に複数の脆弱性
「MS Edge」もアップデート - 悪用済み脆弱性に対応
eラーニング向けCMSに複数の脆弱性 - 実証コードなど公開
「Chrome」にセキュリティアップデート - ゼロデイ脆弱性など修正
キャプティブポータルを提供する「OpenNDS」に複数の深刻な脆弱性
水道局の制御機器を狙うサイバー攻撃が発生 - 米当局が注意喚起
バックアップソフト「Arcserve UDP」に脆弱性 - アップデートがリリース
脅威情報共有プラットフォーム「MISP」に脆弱性 - 最新版へ更新を
「Concrete CMS」に新板 - 複数脆弱性を修正
WP向けプラグイン「UserPro」に深刻な脆弱性 - 組み合わせで悪用容易に
