Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

複数メーカーの「ATM」に脆弱性 - 預金不正引出や乗っ取りのおそれ

NCRやDiebold Nixdorfが提供する「自動預け払い機(ATM)」に脆弱性が判明した。いずれも悪用には機器に対して物理的なアクセスが必要となるが、預金の不正な引き出しなど重大な影響を与えるおそれがあり、セキュリティ機関が注意を呼びかけている。

特定バージョンの「APTRA XFS」が動作する「NCR SelfServ ATM」には、預金の不正な引き出しや任意のコード実行など2件の脆弱性が存在。機器から金銭が不正に引き出されたりや任意のコードを実行されるおそれがある。

具体的には、機器コンポーネントとホストコンピューター間の通信バスに対する物理的な攻撃に脆弱で、USB HID通信において完全性が保証されておらず、バッファーオーバーフローが生じる脆弱性「CVE-2020-9063」や、攻撃者がセッションキーを生成できる脆弱性「CVE-2020-10123」が存在するという。

また「NCR SelfServ ATM」に「Bunch Note Accepter(BNA)」を搭載している場合、「BNA」とホストコンピュータ間の通信が保護されておらず、盗聴や改ざんが可能で、預金額を操作されるおそれがある「CVE-2020-10124」をはじめ、脆弱性3件が含まれる。

(Security NEXT - 2020/08/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

PEARライブラリ「Archive_Tar」に脆弱性 - 「Drupal」などにも影響
「Chrome 92」で35件のセキュリティ修正
Oracle、四半期定例パッチを公開 - 脆弱性のべ342件を修正
「Windows」に権限昇格のゼロデイ脆弱性 - MSが詳細を調査
Linuxカーネルにroot権限を取得できる脆弱性 - 1Gバイト超のパス長処理で
「Citrix ADC」や「Citrix Gateway」に複数脆弱性 - 認証回避のおそれ
Adobeの複数製品に深刻な脆弱性 - 定例外でパッチ公開
「FortiManager」「FortiAnalyzer」に脆弱性 - root権限でコード実行のおそれ
Apple、macOSやスマートデバイス向けにセキュリティ更新
Windowsの「ポイントアンドプリント」にゼロデイ脆弱性 - PoC公開済み