Múltiples fallas encontradas en el software ScrutisWeb

Cuatro vulnerabilidades de seguridad en el software de monitoreo de flotas de cajeros automáticos ScrutisWeb fabricado por Iagona podrían explotarse para ingresar remotamente a los cajeros automáticos, cargar archivos arbitrarios e incluso reiniciar los terminales.

Las deficiencias fueron descubiertas por el Equipo Synack Red (SRT) después de un compromiso con el cliente. Los problemas se han solucionado en ScrutisWeb versión 2.1.38.

"La explotación exitosa de estas vulnerabilidades podría permitir a un atacante cargar y ejecutar archivos arbitrarios", dijo la Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA) en un aviso publicado el mes pasado.

ScrutisWeb es una solución basada en navegador web para monitorear flotas de cajeros automáticos bancarios y minoristas, incluida la recopilación del estado del sistema de información, la detección de alertas de papel bajo, el apagado o reinicio de un terminal y la modificación remota de datos.

Los detalles de los cuatro defectos son los siguientes:

• CVE-2023-33871 (puntuación CVSS: 7,5): vulnerabilidad de cruce de directorios que podría permitir a un usuario no autenticado acceder directamente a cualquier archivo fuera de la raíz web del servidor.
• CVE-2023-35189 (puntuación CVSS: 10,0): vulnerabilidad de ejecución remota de código que podría permitir a un usuario no autenticado cargar una carga malintencionada y ejecutarla.
• CVE-2023-35763 (puntuación CVSS: 5,5): vulnerabilidad criptográfica que podría permitir a un usuario no autenticado descifrar contraseñas cifradas en texto sin formato.
• CVE-2023-38257 (puntuación CVSS: 7,5): vulnerabilidad de referencia directa a objetos no segura que podría permitir a un usuario no autenticado ver información de perfil, incluidos los nombres de inicio de sesión de usuario y las contraseñas cifradas.
• La más grave de las fallas es CVE-2023-35189, ya que permite a un usuario no autenticado cargar cualquier archivo y luego verlo nuevamente desde un navegador web, lo que resulta en una inyección de comandos.

En un escenario de ataque hipotético, un adversario podría convertir CVE-2023-38257 y CVE-2023-35763 en el arma para iniciar sesión en la consola de administración de ScrutisWeb como administrador.

"A partir de aquí, un actor malicioso podría monitorear las actividades en cajeros automáticos individuales dentro de la flota. La consola también permite colocar los cajeros automáticos en modo de administración, cargar archivos en ellos, reiniciarlos y apagarlos por completo", dijo Synack.

Además, CVE-2023-35189 podría usarse para eliminar archivos de registro en ScrutisWeb para cubrir las pistas.

"Podría ocurrir una explotación adicional de este punto de apoyo en la infraestructura del cliente, lo que lo convierte en un punto de pivote orientado a Internet para un actor malicioso", dijeron los investigadores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta