Среди угроз — перехват пин-кодов банковских карт и списание произвольной суммы
Уязвимости в кассовых POS-терминалах, выявленные специалистами Positive Technologies, могут использоваться для перехвата пин-кодов банковских крат, подмены информации о сумме транзакции на экране терминала, отправки в банк-эквайер запроса на списание произвольной суммы и других атак. Этим проблемам потенциально подвержены различные терминалы MX, VX и UX серий. Уязвимые устройства используются в розничных сетях во всем мире. Компания Verifone выпустила новые версии микропрограммного обеспечения, в которых данные проблемы устранены, и рекомендует обновить ПО оборудования как можно скорее.
«В большинстве случаев POS-терминал принадлежит банку, а доступ к нему имеют арендаторы (сотрудники торговых организаций) или компании, осуществляющие техническое обслуживание. Используя обнаруженные уязвимости, недобросовестный сотрудник может воспользоваться физическим доступом к устройству для его модификации, — рассказывает эксперт по банковской безопасности Positive Technologies Тимур Юнусов. — По нашим оценкам, до 90% POS-терминалов, подверженных этим уязвимостям, продолжают работать в торговых организациях».
Ошибки связаны с возможностью обойти шифрование и другие ограничения безопасности, вызвать переполнение буфера в ПО, использовать инженерные пароли и незащищенный режим восcтановления. Эти и другие проблемы терминалов позволяют записать вредоносное ПО для получения полного контроля над устройством для приема банковских карт. Злоумышленник может, например, считывать платежные данные, включая магнитную полосу банковских карт (для использования в регионах, где транзакции еще могут верифицироваться магнитной полосой, например в США и некоторых странах Азии) или посылать произвольные команды авторизации в банки-эквайеры.
Уязвимые терминалы могут также использоваться для подбора неизвестной информации о пользовательских картах с помощью метода Distributed Guessing Attack (распределенного перебора). При таких атаках неизвестное поле, например трехзначный код проверки подлинности карты CVV2, подбирается путем осуществления одновременных попыток оплаты в сотнях интернет-магазинах с различными значениями CVV2 до тех пор, пока злоумышленник не выяснит действительный трехзначный код карты.
В исследовании участвовали эксперты Positive Technologies Дмитрий Скляров, Алексей Стенников, Егор Зайцев 1. Уязвимости получили идентификаторы CVE-2019-14711 (оценка 8.8 баллов по шкале CVSS v3.0), CVE-2019-14712 (8.2 балла), CVE-2019-14713 (8.2 балла), CVE-2019-14715 (7.6 баллов), CVE-2019-14716 (7.3 балла), CVE-2019-14717 (8.2 балла), CVE-2019-14718 (8.2 балла), CVE-2019-14719 (6.3 балла).
Для получения обновлений, устраняющих уязвимости, необходимо связаться с производителем оборудования, своим банком или сервис-провайдером и установить на терминал прошивку, указанную в уведомлении Verifone. Кроме того, поскольку атаки требуют физического доступа к терминалу, компания Verifone рекомендует придерживаться традиционных best practices по управлению терминалами, принятых в торговле, включая безопасную парольную политику, перезагрузку терминалов (это может устранить любое вредоносное ПО с устройства) и тщательный контроль неавторизованного доступа к терминалам.
Срок службы некоторых моделей подходит к концу, поэтому одним из способов устранения уязвимостей может быть запрос производителю, банку или сервис-провайдеру о замене оборудования на новые модели.
- Алексей Стенников и Егор Зайцев сейчас независимые исследователи.