Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

複数メーカーの「ATM」に脆弱性 - 預金不正引出や乗っ取りのおそれ

NCRやDiebold Nixdorfが提供する「自動預け払い機(ATM)」に脆弱性が判明した。いずれも悪用には機器に対して物理的なアクセスが必要となるが、預金の不正な引き出しなど重大な影響を与えるおそれがあり、セキュリティ機関が注意を呼びかけている。

特定バージョンの「APTRA XFS」が動作する「NCR SelfServ ATM」には、預金の不正な引き出しや任意のコード実行など2件の脆弱性が存在。機器から金銭が不正に引き出されたりや任意のコードを実行されるおそれがある。

具体的には、機器コンポーネントとホストコンピューター間の通信バスに対する物理的な攻撃に脆弱で、USB HID通信において完全性が保証されておらず、バッファーオーバーフローが生じる脆弱性「CVE-2020-9063」や、攻撃者がセッションキーを生成できる脆弱性「CVE-2020-10123」が存在するという。

また「NCR SelfServ ATM」に「Bunch Note Accepter(BNA)」を搭載している場合、「BNA」とホストコンピュータ間の通信が保護されておらず、盗聴や改ざんが可能で、預金額を操作されるおそれがある「CVE-2020-10124」をはじめ、脆弱性3件が含まれる。

(Security NEXT - 2020/08/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

Windows向け「Zscaler Client Connector」に権限昇格の脆弱性
「Firefox 86」が公開、Cookie対策強化 - 脆弱性12件を修正
SonicWall、VPN製品向けに追加アップデート - すぐに更新を
CiscoのWindows向けVPNクライアントに脆弱性 - 更新を
「Office for Mac」向けにセキュリティ更新 - 脆弱性2件を修正
「BIND 9」にリモートより悪用可能な脆弱性 - アップデートが公開
複数脆弱性を修正した「OpenSSL 1.1.1j」が公開
「OpenSSL」にサービス拒否の脆弱性 - アップデートが公開
「Aruba ClearPass Policy Manager」に複数の脆弱性
複数脆弱性を修正、「Chrome 88.0.4324.182」が公開