Positive Technologies помогла устранить опасные уязвимости в ПО SafenSoft для защиты банкоматов

SafenSoft устранила недостатки безопасности, обнаруженные экспертом Positive Technologies Артемом Ивачевым в решениях линейки SoftControl (SysWatch, TPSecure, Enterprise Suite), которые обеспечивают защиту более 240 000 банкоматов, устройств самообслуживания, серверов и рабочих станций в России и 17 странах мира .

«По нашим наблюдениям, в 9 из 10 банкоматов установлены устаревшие и уязвимые версии Windows (XP или 7), для которых создано множество общедоступных эксплойтов, — отмечает специалист отдела анализа защищенности Positive Technologies Артем Ивачев. — Поэтому крайне важен контроль разрешенных приложений, а способы обхода белого списка софта представляют большую опасность. Для запуска нелегитимного ПО злоумышленник может использовать недостатки защиты сервисной зоны банкомата и доступ к USB или CD-ROM. Затем с помощью подходящего вредоносного ПО атакующий может получить права администратора на компьютере банкомата и загрузить специализированное ПО, такое как Alice, GreenDispenser, Padpin (Tyupkin), Ripper, позволяющее похищать наличные». 

Обойти список авторизованных приложений позволяют три уязвимости. Так, ошибка CVE-2018-13014 дает возможность получить пароль, который ограничивает доступ к настройкам конфигурации. В результате атакующий может свободно менять настройки конфигурации продуктов SoftControl, например полностью отключить защиту на локальном компьютере. 

Вторая уязвимость, CVE-2018-13013, связана с неправильной проверкой запуска msiexec.exe. Локальный злоумышленник может создать конфигурацию, в которой компонент SysWatch не осуществляет проверку сигнатур установочных файлов с расширением .msi, запустить произвольный MSI-файл и выполнить неавторизованный код. 

Третья уязвимость (CVE-2018-13012) вызвана особенностями процесса обновления продуктов SoftControl. Обновления каждой версии имеют файл конфигурации lastversion42.xml и набор файлов обновлений. Из-за ошибки проверки целостности файла lastversion42.xml злоумышленник может выполнить атаку «человек посередине» и заменить файлы обновления. Для эксплуатации уязвимости атакующему нужен доступ в настройки SysWatch, который может дать уязвимость раскрытия пароля CVE-2018-13014. 

Для устранения уязвимости CVE-2018-13014 необходимо обновить используемые продукты линейки SoftControl до версии 4.3.17 или выше. Также следует обновить все клиенты SysWatch, чтобы переключить компонент «Сервисный центр» в новый режим управления паролями (если клиенты SysWatch управляются с помощью компонента «Сервисный центр»). Уязвимости CVE-2018-13013 и CVE-2018-13012 устранены в продуктах SoftControl версий 4.4.12 и выше. 

«Выявление и своевременное устранение уязвимостей — важный элемент жизненного цикла ПО, — говорит технический директор компании ООО «Протекшен Технолоджи», владеющей брендом SafenSoft, Александр Зацепин. — Сотрудничество с экспертами в области анализа защищенности программных продуктов позволяет достигать качественно лучших результатов. Мы благодарим коллег из компании Positive Technologies и Артема Ивачева лично за внимание, уделенное продуктам нашей компании, и профессиональный подход в ходе сотрудничества». 

По данным Европейской ассоциации безопасных транзакций (EAST), в 2017 году было 192 атаки на банкоматы с применением ВПО, официальный ущерб от которых составил 1,52 млн евро. Согласно исследованию Positive Technologies, ВПО для банкоматов относится к самому дорогому классу готового ВПО на черном рынке, цены на него начинаются от 1500 $, что обусловлено как сложностью разработки, так и высокой привлекательностью атак на банкоматы для злоумышленников. При этом по сравнению с 2016 годом количество инцидентов выросло на 231%, а общий ущерб на 230%.

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Оборудование, ПО, Финансы, Безопасность

наверх
 
 
     
Оставить комментарий
Имя:
E-mail:
Комментарий (не более 2000 знаков):



     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

07.11.2018 Рынок 5G за ближайшую пятилетку вырастет в 50 раз

01.11.2018 Якутский «Водоканал» внедрил СЭД

31.10.2018 К 2025 году связью 5G будут пользоваться 80 % россиян

30.10.2018 Электронный документооборот на пороге цифровой эпохи

24.10.2018 В матрице лидерства Canalys – 8 новых «чемпионов»

17.10.2018 Инновации в России: фестиваль форматов

16.10.2018 Цифровая трансформация: пора налить воду в бассейн

16.10.2018 На «ПРОФ-IT» показали отечественные интегрированные решения

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода