迪堡Opteva ATM存漏洞,攻击者可直接取现
发布日期:2017-07-317月26日,美国西雅图网络安全公司IOActive 发布重要安全公告,详述迪堡(Diebold)Opteva ATM机中存在物理与认证绕过问题,如果这两个漏洞被结合利用,可能会让未经授权的攻击者从ATM设备中提取现金。
由于ATM机将安全系统与操作系统分开,攻击者必须组合利用这两大漏洞。部署AFD平台的Opteva 系列ATM机上层柜放的是操作系统,下层则为安全系统,且各自均具备独立的验证体系。
研究人员首先得通过物理手段访问内部计算机,即在ATM扬声器孔插入金属杆,提起金属锁杆打开包含计算机的ATM上层柜,之后直接访问安全部分的AFD控制器。但他们仍需利用第二个漏洞才能提取现金。
为此,IOActive对AFD协议和固件进行了逆向工程改造。这样一来,研究人员便能解密认证协议,之后更无需正确的认证便能实现通信。简而言之,这两大漏洞允许攻击者冒充未经身份验证的用户,并访问安全系统。
由于这个过程不需要具备设备相关专业知识,IOActive总结称,只要设备未被修复,访问其中一台设备的攻击者能对控制器协议进行逆向工程,从而有效绕过认证并从其它设备提取现金。
大多数设备厂商对修复漏洞不太热衷
然而令人不安的是,IOActive尚不清楚漏洞是否被修复。IOActive 2016年2月向迪堡上报了该问题,但2017年1月仍未获得公开披露漏洞的许可。
2017年2月,也就是首次通知迪堡一年后,迪堡公司给予回复,并收到IOActive提供的跟踪日志。当IOActive跟进事情进展时,却最终被告知测试的系统非常老旧(2008/2009 年),系统未经更新。因此,IOActive提出重新测试最新固件的要求时,却被无视。
Diebold选择锲而不舍继续跟进,直到时隔18个月之后,也就是2017年7月26日,IOActive决定公开漏洞。目前尚不清楚设备是否已被修复,或较新版本的固件是否易遭受攻击。
相关资讯:
卡巴斯基研究员Igor Soumenkov本周在安全分析师峰会(Security Analyst Summit)上介绍了一种新型攻击:黑客结合低端数字技术和非常精准的物理渗透技术让ATM吐...
黑客Onur Kopçak仿冒银行网站进行网络欺诈,骗取用户银行账户信息,使用这些盗取来的用户资料,在世界各地的ATM取款机上盗取了总计约3.6亿现金。
据每日新闻报道,一伙罪犯团伙在日本的16个州,包括东京、大阪、福冈、神奈川、爱知、长崎、兵库、千叶和新泻等地同时在1400台便利店ATM机中取出现金。
黑客Onur Kopçak仿冒银行网站进行网络欺诈,骗取用户银行账户信息,使用这些盗取来的用户资料,在世界各地的ATM取款机上盗取了总计约3.6亿现金。...
而当你到 ATM 柜员机上取钱时就使用双因素认证,即:你知道什么(密码) 和你有什么(银行卡) 。其他双因素认证则注重于你是谁,如生物特征解决方案:指纹扫描...