374/66 (IT) ประจำวันอังคารที่ 15 สิงหาคม 2566
ช่องโหว่หลายรายการที่ถูกพบในซอฟต์แวร์ตรวจสอบ ATM ของ ScrutisWeb ที่ผลิตโดยบริษัท Iagona ของฝรั่งเศสอาจถูกโจมตีเพื่อเจาะระบบ ATM จากระยะไกลได้ ซึ่งช่องโหว่ได้ถูกค้นพบโดยนักวิจัยของ Synack Red Team โดย ScrutisWeb ช่วยให้องค์กรต่าง ๆ สามารถตรวจสอบ ATM ของธนาคารหรือร้านค้าปลีกได้จากเว็บเบราว์เซอร์ ทำให้สามารถตอบสนองต่อปัญหาได้อย่างรวดเร็ว
นักวิจัยของ Synack ได้ระบุช่องโหว่จำนวนสี่รายการได้แก่ CVE-2023-33871, CVE-2023-38257, CVE-2023-35763 และ CVE-2023-35189 โดยช่องโหว่ได้แก่ authorization bypass, hardcoded cryptographic key, arbitrary file upload ซึ่งทำให้ผู้โจมตีระยะไกลที่ไม่ผ่านการรับรองความถูกต้องสามารถใช้ประโยชน์ได้และผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อรับข้อมูลจากเซิร์ฟเวอร์ (การกำหนดค่า บันทึก และฐานข้อมูล) เพื่อดำเนินการ execute arbitrary command โดยนักวิจัยกล่าวว่าผู้โจมตีจะสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าสู่ระบบ management console ScrutisWeb ในฐานะผู้ดูแลระบบและตรวจสอบกิจกรรมของ ATM ที่เชื่อมต่อ เพื่อเปิดใช้งานโหมดการจัดการบนอุปกรณ์ อัปโหลดไฟล์ และรีบูตหรือปิดเครื่อง
สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เผยแพร่คำแนะนำเพื่อแจ้งให้องค์กรทราบเกี่ยวกับช่องโหว่และจากข้อมูลของ CISA ผลิตภัณฑ์ที่ได้รับผลกระทบได้ถูกใช้ทั่วโลก
แหล่งข่าว ( https://www.securityweek.com/iagona-scrutisweb-vulnerabilities-could-expose-atms-to-remote-hacking/ )