複数メーカーの「ATM」に脆弱性 - 預金不正引出や乗っ取りのおそれ
ソフトウェアの更新に用いる証明書に強度の低い暗号を利用しているため、解析されて不正なファイルを読み込み、任意のコードを実行される「CVE-2020-10125」、認証を回避され、ムーバブルメディアから任意のファイルを読み込み、システム権限で実行する「CVE-2020-10126」などが明らかとなった。
また「Diebold Nixdorf ProCash 2100xe USB ATM」についても、通信内容の窃取や改ざんが行われるおそれがあり、預金額の改ざんといったリスクが指摘されている。
セキュリティ機関では、各社が提供する脆弱性情報を確認し、ソフトウェアのアップデートを実施するよう注意を喚起。また「APTRA XFS」の一部バージョンについてはサポートが終了しており、同バージョンが動作する機器については、入れ替えなども検討するよう求めている。
(Security NEXT - 2020/08/25 )
ツイート
関連リンク
- CERT/CC:Diebold Nixdorf ProCash 2100xe USB ATM does not adequately secure communications between CCDM and host
- CERT/CC:NCR SelfServ ATM dispenser software contains multiple vulnerabilities
- CERT/CC:NCR SelfServ ATM BNA contains multiple vulnerabilities
- JVN:NCR SelfServ ATM における複数の脆弱性
- JVN:NCR SelfServ ATM BNAにおける複数の脆弱性
- JVN:Diebold Nixdorf ProCash 2100xe USB ATMにおける暗号化の欠如に関する脆弱性
- CERT/CC
- jVN
PR
関連記事
「Chromium」ゼロデイ脆弱性、Macに影響 - 米当局が注意喚起
「Plesk」Linux版に権限昇格の脆弱性 - アップデートで修正
ウェブメール「Roundcube」にXSSなど脆弱性 - 更新を強く推奨
「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を
「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み
地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局
「pgAdmin4」リストア処理にRCE脆弱性 - 2カ月連続で判明
地理空間データを活用する「GeoServer」の脆弱性攻撃に注意
