В ПО для мониторинга банкоматов ScrutisWeb найдены уязвимости

Небольшая группа сотрудников Synack Red Team (SRT), команды в сфере компьютерной безопасности, обнаружила уязвимости программного обеспечения для мониторинга банкоматов ScrutisWeb, разработанного французской компанией Iagona. Уязвимости могут использоваться для удаленного взлома банкоматов.

Баги были обнаружены исследователями SRT еще в начале 2023 года, но разработчики ПО устранили уязвимости только в июле с выходом релиза ScrutisWeb версии 2.1.38. ПО ScrutisWeb доступно из любого браузера и помогает организациям по всему миру контролировать банкоматы и сокращать время отклика в случае возникновения проблем.

Исследователи выявили в ScrutisWeb 4 уязвимости: CVE-2023–33871, CVE-2023–38257, CVE-2023–35763 и CVE-2023-35189, которые связаны с обходом авторизации, жестко закодированным криптографическим ключом, а также с загрузкой произвольных файлов. Уязвимости позволяют злоумышленникам удаленно без аутентификации получать данные с сервера, выполнять произвольные команды, а также получать зашифрованные пароли администратора с возможностью последующей расшифровки их с помощью жестко закодированного ключа.