Phát hiện 4 lỗ hổng nghiêm trọng trên phần mềm giám sát máy ATM ScrutisWeb

ScrutisWeb là một giải pháp an toàn hỗ trợ các tổ chức toàn cầu trong việc giám sát các máy ATM, tăng cường thời gian phản hồi sự cố và giải pháp này có thể truy cập thông qua bất kỳ trình duyệt nào.

Các nhà nghiên cứu an ninh mạng tại Synack mới đây đã phát hiện 4 lỗ hổng trong ScrutisWeb:

CVE-2023-33871: Path Traversal tuyệt đối

CVE-2023-35189: Thực thi mã từ xa

CVE-2023-38257: Tham chiếu đối tượng trực tiếp không an toàn

CVE-2023-35763: Khóa mã hóa hardcode

Khai thác thành công những lỗ hổng này, hacker có thể truy cập cấu hình, nhật ký, cơ sở dữ liệu máy chủ; chạy các lệnh tùy ý; nhận mật khẩu quản trị được mã hóa; giải mã mật khẩu admin được mã hóa bằng khóa hardcode.

Khuyến nghị đưa ra bởi CISA:

– Giảm truy cập trực tuyến cho các thiết bị điều khiển để tránh tiếp xúc với internet.

– Đảm bảo đặt các mạng điều khiển và thiết bị từ xa sau tường lửa, tách biệt chúng khỏi hệ thống công ty.

– Ưu tiên các tùy chọn bảo mật như VPN để truy cập từ xa và luôn cập nhật lên các phiên bản mới nhất.

Nguồn: GBhackers