Los investigadores encontraron numerosas fallas de seguridad en el software de monitoreo de flotas de cajeros automáticos de ScrutisWeb que amenazaban la seguridad de los cajeros automáticos. La explotación de estas vulnerabilidades podría permitir a un adversario piratear los cajeros automáticos objetivo.
Varias vulnerabilidades encontradas en el software de cajero automático ScrutisWeb
La CISA de EE. UU. advirtió recientemente a los usuarios sobre numerosas vulnerabilidades graves que afectan al software de monitoreo de flotas de cajeros automáticos Iagona ScrutisWeb.
ScrutisWeb es un software dedicado a cajeros automáticos de Iagona, un proveedor de software industrial, que permite a los bancos y al sector minorista monitorear flotas de cajeros automáticos en busca de problemas de seguridad y otros problemas de software/hardware.
Según el comunicado de CISA, tres investigadores, Neil Graves, Jorian van den Hout y Malcolm Stagg, descubrieron numerosas vulnerabilidades de seguridad en el software de cajero automático ScrutisWeb, que ponía en peligro directamente la seguridad de los respectivos cajeros automáticos.
Específicamente, encontraron las siguientes vulnerabilidades que afectan a Iagona ScrutisWeb versiones 2.1.37 y anteriores.
- CVE-2023-33871 (CVSS 7.5): una vulnerabilidad de cruce de directorio que permite a un adversario no autenticado acceder a cualquier archivo fuera de la raíz web.
- CVE-2023-38257 (CVSS 7.5): una vulnerabilidad de referencia directa a objetos inseguros (IDOR) que un adversario no autenticado puede aprovechar para ver datos de perfil e información de inicio de sesión (con contraseñas cifradas).
- CVE-2023-35763 (CVSS 5.5): una vulnerabilidad criptográfica que permitiría a un atacante no autenticado descifrar contraseñas cifradas en texto sin formato.
- CVE-2023-35189 (CVSS 10): una falla de ejecución remota de código de gravedad crítica que permite a un atacante no autenticado descargar y ejecutar cargas útiles maliciosas en los sistemas de destino.
Después de descubrir las vulnerabilidades, los investigadores informaron de las fallas a CISA y recomendaron las siguientes mitigaciones.
- Minimizar la exposición de la red para dispositivos/sistemas de control.
- Aísle redes y dispositivos del sistema de control de redes corporativas y protéjalos con firewalls.
- Implemente VPN para proteger el acceso remoto a los sistemas.
Además, Iagona también parchó vulnerabilidades con ScrutisWeb v2.1.38. Por lo tanto, todos los clientes de ScrutisWeb deben actualizar sus sistemas con las últimas actualizaciones de software para recibir parches. Además, CISA aconseja a las organizaciones realizar análisis de impacto, evaluaciones de riesgos y considerar pruebas de penetración de cajeros automáticos antes de implementar medidas defensivas.
Háganos saber su opinión en los comentarios.
