Quatre vulnérabilités de sécurité dans le logiciel de surveillance de flotte de guichets automatiques ScrutisWeb conçu par Iagona pourraient être exploitées pour pénétrer à distance dans les guichets automatiques, télécharger des fichiers arbitraires et même redémarrer les terminaux.
Les lacunes ont été découvertes par la Synack Red Team (SRT) suite à un engagement client. Les problèmes ont été résolus dans ScrutisWeb version 2.1.38.
« L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de télécharger et d’exécuter des fichiers arbitraires », a déclaré la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis dans un avis publié le mois dernier.
ScrutisWeb est une solution basée sur un navigateur Web pour la surveillance des flottes de guichets automatiques bancaires et de détail, y compris la collecte de l’état du système d’information, la détection des alertes de faible niveau de papier, l’arrêt ou le redémarrage d’un terminal et la modification à distance des données.
Les détails des quatre défauts sont les suivants –
- CVE-2023-33871 (Score CVSS : 7,5) – Une vulnérabilité de traversée de répertoire qui pourrait permettre à un utilisateur non authentifié d’accéder directement à n’importe quel fichier en dehors de la racine Web du serveur.
- CVE-2023-35189 (Score CVSS : 10,0) – Une vulnérabilité d’exécution de code à distance qui pourrait permettre à un utilisateur non authentifié de télécharger une charge utile malveillante et de l’exécuter.
- CVE-2023-35763 (Score CVSS : 5,5) – Une vulnérabilité cryptographique qui pourrait permettre à un utilisateur non authentifié de déchiffrer des mots de passe chiffrés en texte clair.
- CVE-2023-38257 (Score CVSS : 7,5) – Une vulnérabilité de référence d’objet directe non sécurisée qui pourrait permettre à un utilisateur non authentifié d’afficher des informations de profil, y compris des noms de connexion d’utilisateur et des mots de passe chiffrés.
La plus grave des failles est CVE-2023-35189, car elle permet à un utilisateur non authentifié de télécharger n’importe quel fichier, puis de le revoir à partir d’un navigateur Web, ce qui entraîne une injection de commande.
Dans un scénario d’attaque hypothétique, un adversaire pourrait armer CVE-2023-38257 et CVE-2023-35763 pour se connecter à la console de gestion ScrutisWeb en tant qu’administrateur.
« À partir de là, un acteur malveillant serait en mesure de surveiller les activités sur des guichets automatiques individuels au sein de la flotte. La console permet également de faire passer les guichets automatiques en mode de gestion, de leur télécharger des fichiers, de les redémarrer et de les éteindre complètement », a déclaré Synack.
De plus, CVE-2023-35189 pourrait être utilisé pour supprimer les fichiers journaux sur ScrutisWeb afin de dissimuler les pistes.
« Une exploitation supplémentaire de cette implantation dans l’infrastructure du client pourrait se produire, ce qui en ferait un point pivot face à Internet pour un acteur malveillant », ont déclaré les chercheurs.
