「鸚鵡螺」ATM 遭發現 2 個 0-day 漏洞,駭侵者可竊取用戶資訊,並快速將存鈔提領一空.png

資安專家發現某款名為「鸚鵡螺」的 ATM 存有兩個 0-day 漏洞,不但能讓駭侵者竊得用戶在銀行的機敏資訊,更能快速將機內存鈔盜領一空。

資安廠商 Red Balloon 旗下的兩名研究人員 Brenda So 和 Trey Keown 指出,由 Hyosung America 製造的 Nautlius「鸚鵡螺」ATM 機台,本身存有兩個 0-day 漏洞;除了可讓駭侵者取得用戶在銀行的往來記錄等機敏資訊,更能快速將 ATM 機身內的存鈔盜領一空。

這兩個漏洞,其中一個存於 Nautlius ATM 處理金融服務的擴充模組,也就是提款使用的軟體程式,駭侵者可以針對這個漏洞加以利用,令 ATM 快速送出所有存鈔。

另一個漏洞則存於 ATM 的遠端控制界面中,駭侵者可藉以遠端執行惡意程式碼;兩名研究人員示範了如何透過這些惡意程式碼,讓 ATM 將用戶的卡號、密碼等機敏資訊傳送到駭侵者架設的控制伺服器。

研究人員說,雖然 Hyosung America 已經針對這兩個漏洞發布修補更新,但由於 Nautlius ATM 使用的作業系統,是十年前發行的 Windows CE 6.0,在作業系統已經如此老舊的情況下,很難預期不會有其他嚴重資安漏洞出現。 

兩位研究人員於今年的 DEF CON 資安大會上示範了入侵 Nautilis ATM 的過程。


  • 參考連結

https://www.cyberscoop.com/atm-vulnerabilities-cash-red-balloon-def-con-2020/

https://techcrunch.com/2020/08/06/hackers-atm-spit-cash/

https://www.youtube.com/watch?v=dJNLBfPo2V8

    twcert 發表在 痞客邦 留言(0) 人氣()