ScrutisWeb曝出严重漏洞,可远程控制全球ATM!
💡
原文中文,约3100字,阅读约需8分钟。
📝
内容提要
2023年年初,Synack Red Team (SRT) 成员发现了 ScrutisWeb 网络应用程序的多个漏洞,包括绝对路径遍历、远程代码执行和不安全的直接对象引用。这些漏洞已在软件公司 Iagona 的修补程序中得到修复。修复漏洞的方法是更新至 ScrutisWeb 2.1.38 版。
🎯
关键要点
- 2023年年初,Synack Red Team (SRT) 发现了 ScrutisWeb 网络应用程序的多个漏洞。
- 发现的漏洞包括 CVE-2023-33871、CVE-2023-38257、CVE-2023-35763 和 CVE-2023-35189。
- 2023年7月,Iagona 在 ScrutisWeb 2.1.38 版本中修补了这些漏洞。
- ScrutisWeb 是一种用于监控银行和零售 ATM 机群的安全解决方案。
- ScrutisWeb 具有多种功能,包括重新启动终端、检索银行服务信息和远程修改数据。
- 安全研究人员发现了一个超大的 23MB JavaScript 文件,存在绝对路径遍历漏洞。
- CVE-2023-33871 漏洞允许下载服务器上的任意文件。
- CVE-2023-35189 漏洞允许未经身份验证的用户上传文件并执行系统命令。
- CVE-2023-38257 漏洞允许通过用户 ID 获取敏感信息,包括加密密码。
- CVE-2023-35763 漏洞涉及硬编码的加密密钥,允许解密用户密码。
- 这些漏洞使恶意行为者能够以管理员身份登录 ScrutisWeb 管理控制台。
- Iagona 迅速解决了发现的四个安全问题,建议用户更新至 ScrutisWeb 2.1.38 版。
🏷️
标签
➡️
