複数メーカーの「ATM」に脆弱性 - 預金不正引出や乗っ取りのおそれ
ソフトウェアの更新に用いる証明書に強度の低い暗号を利用しているため、解析されて不正なファイルを読み込み、任意のコードを実行される「CVE-2020-10125」、認証を回避され、ムーバブルメディアから任意のファイルを読み込み、システム権限で実行する「CVE-2020-10126」などが明らかとなった。
また「Diebold Nixdorf ProCash 2100xe USB ATM」についても、通信内容の窃取や改ざんが行われるおそれがあり、預金額の改ざんといったリスクが指摘されている。
セキュリティ機関では、各社が提供する脆弱性情報を確認し、ソフトウェアのアップデートを実施するよう注意を喚起。また「APTRA XFS」の一部バージョンについてはサポートが終了しており、同バージョンが動作する機器については、入れ替えなども検討するよう求めている。
(Security NEXT - 2020/08/25 )
ツイート
関連リンク
- CERT/CC:Diebold Nixdorf ProCash 2100xe USB ATM does not adequately secure communications between CCDM and host
- CERT/CC:NCR SelfServ ATM dispenser software contains multiple vulnerabilities
- CERT/CC:NCR SelfServ ATM BNA contains multiple vulnerabilities
- JVN:NCR SelfServ ATM における複数の脆弱性
- JVN:NCR SelfServ ATM BNAにおける複数の脆弱性
- JVN:Diebold Nixdorf ProCash 2100xe USB ATMにおける暗号化の欠如に関する脆弱性
- CERT/CC
- jVN
PR
関連記事
「MS Edge」にアップデート - 「クリティカル」脆弱性を解消
「Cisco IOS XR」にDoSや署名バイパスの脆弱性 - 修正版リリース
「Zoom Workplace」に複数の脆弱性 - 最新版で修正済み
工場向けMOMシステム「DELMIA Apriso」脆弱性 - 米当局が悪用に注意喚起
Ivantiのエンドポイント管理やリモートアクセス製品に脆弱性
デバッグ支援ツール「NVIDIA NVDebug tool」に複数の脆弱性
ネットワーク監視ツール「Stork」に脆弱性 - DoS攻撃のおそれ
GitLab、バグ報奨金プログラムで報告された脆弱性6件を解消
「Adobe Commerce」「Magento」に深刻な脆弱性 - Adobeと外部で温度差
MS、月例セキュリティ更新80件を公開 - 「緊急」8件などに対応
