複数メーカーの「ATM」に脆弱性 - 預金不正引出や乗っ取りのおそれ
ソフトウェアの更新に用いる証明書に強度の低い暗号を利用しているため、解析されて不正なファイルを読み込み、任意のコードを実行される「CVE-2020-10125」、認証を回避され、ムーバブルメディアから任意のファイルを読み込み、システム権限で実行する「CVE-2020-10126」などが明らかとなった。
また「Diebold Nixdorf ProCash 2100xe USB ATM」についても、通信内容の窃取や改ざんが行われるおそれがあり、預金額の改ざんといったリスクが指摘されている。
セキュリティ機関では、各社が提供する脆弱性情報を確認し、ソフトウェアのアップデートを実施するよう注意を喚起。また「APTRA XFS」の一部バージョンについてはサポートが終了しており、同バージョンが動作する機器については、入れ替えなども検討するよう求めている。
(Security NEXT - 2020/08/25 )
ツイート
関連リンク
- CERT/CC:Diebold Nixdorf ProCash 2100xe USB ATM does not adequately secure communications between CCDM and host
- CERT/CC:NCR SelfServ ATM dispenser software contains multiple vulnerabilities
- CERT/CC:NCR SelfServ ATM BNA contains multiple vulnerabilities
- JVN:NCR SelfServ ATM における複数の脆弱性
- JVN:NCR SelfServ ATM BNAにおける複数の脆弱性
- JVN:Diebold Nixdorf ProCash 2100xe USB ATMにおける暗号化の欠如に関する脆弱性
- CERT/CC
- jVN
PR
関連記事
「MS Edge」も2度にわたり更新 - ゼロデイ脆弱性を解消
「Wing FTP Server」の脆弱性悪用を確認 - 米当局が注意喚起
GNU Inetutils「telnetd」にRCE脆弱性 - アップデートを準備
HPE Aruba製スイッチ向けOSに認証回避など複数の脆弱性
米当局、Chromeゼロデイ脆弱性に注意喚起 - Chromium派生ブラウザも注意
連日「Chrome」が緊急アップデート - 前回未修正のゼロデイ脆弱性に対処
Apple、「iOS 16/15」向けにセキュリティ更新 - 悪用脆弱性を解消
Adobe、複数製品向けにアップデート - 深刻な脆弱性を修正
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
「AdGuard Home」に深刻な脆弱性 - 修正版が公開
