Encontradas en el software ScrutisWeb permitirían que un atacante cargue y ejecute archivos arbitrarios
Cuatro vulnerabilidades de seguridad en el software de monitoreo de flotas de cajeros automáticos ScrutisWeb creado por Iagona podrían explotarse para acceder de forma remota a los cajeros automáticos, cargar archivos arbitrarios e incluso reiniciar las terminales.
Las deficiencias fueron descubiertas por Synack Red Team (SRT) luego de haber comprometido a un cliente. Los problemas se han abordado en ScrutisWeb versión 2.1.38.
"La explotación exitosa de estas vulnerabilidades podría permitir que un atacante cargue y ejecute archivos arbitrarios", dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en un aviso publicado el mes pasado.
ScrutisWeb es una solución basada en navegador web para monitorear las flotas de cajeros automáticos bancarios y minoristas, lo que incluye recopilar el estado del sistema de información, detectar alertas de billetes bajos, apagar o reiniciar una terminal y modificar datos de forma remota.
La más grave de las fallas es CVE-2023-35189, ya que permite que un usuario no autenticado cargue cualquier archivo y luego lo vuelva a ver desde un navegador web, lo que resulta en la inyección de comandos.
En un escenario de ataque hipotético, un adversario podría armar otras fallas para iniciar sesión en la consola de administración de ScrutisWeb como administrador.
"Desde aquí, un actor malicioso podría monitorear las actividades en cajeros automáticos individuales dentro de la flota. La consola también permite colocar los cajeros automáticos en modo de administración, cargar archivos en ellos, reiniciarlos y apagarlos por completo", dijo Synack.
Además, CVE-2023-35189 podría usarse para eliminar archivos de registro en ScrutisWeb para cubrir las pistas.
"Podría ocurrir una explotación adicional de este punto de apoyo en la infraestructura del cliente, lo que lo convierte en un punto de pivote de Internet para un actor malicioso", dijeron los investigadores.
