شناسایی آسیب‌پذیری‌های بحرانی در دستگاه‌های کارت‌خوان

به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت پازتیوتکنالجیز در گزارشی اعلام کردند چندین آسیب‌پذیری در کارت‌خوان‌های وریفون (Verifone) و انجنیکو (Ingenico) شناسایی کرده‌اند که به مهاجمان امکان سرقت اطلاعات بانکی را می‌دهند. 

محققان در کارت‌خوان‌های Telium 2 انجنیکو 10 آسیب‌پذیری شناسایی کرده‌اند که بحرانی‌ترین آن با شناسه CVE-2018-17773 امتیاز 8.3 را به خود اختصاص داده است. 

این نقص امنیتی به علت اجرای نادرست پروتکل NTPT3 ایجادشده است که باعث بروز خطای سرریز بافر می‌شود. یک مهاجم می‌تواند برای به دست آوردن حداکثر امتیازات سیستم از این وضعیت سوءاستفاده کند.

مابقی آسیب‌پذیری‌ها در Telium 2 مربوط به وجود رمز عبور پیش‌فرض در کد، امکان دور زدن محدودیت‌های خواندن فایل‌ها و اجرای کد دلخواه هستند. 

مهاجمان برای بهره‌برداری از اکثر این آسیب‌پذیری‌ها نیازمند دسترسی فیزیکی به دستگاه هستند. برخی از آسیب‌پذیری‌ها می‌توانند از راه دور مورد سوءاستفاده قرار گیرند و امکان کنترل کامل دستگاه را به هکر بدهند. وصله‌ها در به‌روزرسانی‌های Telium 2 SDK v9.32.03 patch N ارائه‌شده‌اند. 

در دستگاه‌های وریفون 8 آسیب‌پذیری شناسایی‌شده است که جدی‌ترین آن‌ها با شناسه CVE-2019-14711 امتیاز 8.8 را کسب کرده است. این آسیب‌پذیری به علت خطای وضعیت رقابتی ایجادشده و امکان می‌دهد کنترل دسترسی نقش محور را دور زد. 

سایر آسیب‌پذیری‌ها مربوط به وجود پسوردهای پیش‌فرض، خطاهای سرریز بافر، امکان ترفیع امتیاز، دور زدن رمزگذاری و تزریق کد مخرب هستند. مهاجم برای تزریق کد مخرب نیاز به دسترسی فیزیکی به دستگاه دارد. آسیب‌پذیری‌های شناسایی‌شده مربوط به دستگاه‌های وریفون سری MX، VX و UX هستند. 

محققان شرکت مذکور تحقیقات روی این آسیب‌پذیری‌ها را که در نسخه‌های به‌روزرسانی شده، برطرف شده‌اند دو سال پیش انجام داده‌اند. نتایج تحقیقات در کنفرانس بلک‌هت امسال ارائه‌شده است.