Американская компания Diebold Nixdorf залатала уязвимость 0-day в своих банкоматах через несколько дней после того, как ИБ-специалисты опубликовали ее технические детали. Баг позволял злоумышленнику дистанционно выполнить вредоносный код на терминале и перехватить управление устройством, работающим под управлением ОС Windows. Исследователи утверждают, что пытались связаться с производителем, но не получили ответа.

Как выяснили аналитики команды NightSt0rm, киберпреступники способны получить удаленный доступ к банкоматам Opteva через службу Agilis XFS, которая отвечает за обработку сетевых запросов. Сервис связан со многими компонентами системы, включая динамическую библиотеку VDMXFS.dll, реализующую функцию удаленного конфигурирования при помощи интерфейса .NET Remoting. Обратный вызов этого API с использованием протокола SOAP приводит к возможности запуска стороннего кода.

Для демонстрации возможностей эксплойта ИБ-аналитики удаленно запустили калькулятор Windows на одном из банкоматов. Представители Diebold Nixdorf отмечают, что уязвимыми оказались лишь терминалы, использующие Agilis XFS версии 4.x с отдельно установленной подсистемой Bulk Cash Recycling Module (BCRM). На современных устройствах семейства Opteva этот модуль включен в состав стандартного ПО и не содержит бага.

Прежде чем опубликовать детали уязвимости, аналитики NightSt0rm проинформировали о ней производителя, однако ответа на свое обращение не получили. После истечения 90 дней с момента отправки первого письма вендору эксперты решили обнародовать сведения о баге.

Представители Diebold Nixdorf назвали случившееся недоразумением. По словам разработчиков, сообщение исследователей было отправлено через общую контактную форму на сайте и затерялось среди десятков других посланий. Обновленный вариант Agilis XFS был выпущен 7 июня и не допускает изменения конфигурации через внешние запросы. В ближайшее время пропатченная версия будет доставлена клиентам компании.

Помимо этого, производитель утверждает, что правильно настроенный файрвол в большинстве случаев решает проблему даже для непропатченной системы.

Исследователи не впервые находят дыры в реализации стандарта XFS. В апреле прошлого года эксперты рассказали о зловреде ATMJackpot, который способен управлять диспенсером наличных, перехватывать ввод PIN-кода с клавиатуры устройства и возвращать карту клиенту. Программа действует через XFS-менеджер, где авторизуется как легитимный процесс.

Категории: Уязвимости