複数メーカーの「ATM」に脆弱性 - 預金不正引出や乗っ取りのおそれ
ソフトウェアの更新に用いる証明書に強度の低い暗号を利用しているため、解析されて不正なファイルを読み込み、任意のコードを実行される「CVE-2020-10125」、認証を回避され、ムーバブルメディアから任意のファイルを読み込み、システム権限で実行する「CVE-2020-10126」などが明らかとなった。
また「Diebold Nixdorf ProCash 2100xe USB ATM」についても、通信内容の窃取や改ざんが行われるおそれがあり、預金額の改ざんといったリスクが指摘されている。
セキュリティ機関では、各社が提供する脆弱性情報を確認し、ソフトウェアのアップデートを実施するよう注意を喚起。また「APTRA XFS」の一部バージョンについてはサポートが終了しており、同バージョンが動作する機器については、入れ替えなども検討するよう求めている。
(Security NEXT - 2020/08/25 )
ツイート
関連リンク
- CERT/CC:Diebold Nixdorf ProCash 2100xe USB ATM does not adequately secure communications between CCDM and host
- CERT/CC:NCR SelfServ ATM dispenser software contains multiple vulnerabilities
- CERT/CC:NCR SelfServ ATM BNA contains multiple vulnerabilities
- JVN:NCR SelfServ ATM における複数の脆弱性
- JVN:NCR SelfServ ATM BNAにおける複数の脆弱性
- JVN:Diebold Nixdorf ProCash 2100xe USB ATMにおける暗号化の欠如に関する脆弱性
- CERT/CC
- jVN
PR
関連記事
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み
