Posté le août 15, 2023 à 7:03
DES CHERCHEURS DÉTECTENT DES VULNÉRABILITÉS DANS LE LOGICIEL DE SURVEILLANCE DE FLOTTE D’IAGONA
Des chercheurs ont détecté de multiples failles dans le logiciel de surveillance de flotte de distributeurs automatiques de billets ScrutisWeb. Le logiciel en question a été créé par une société Fintech connue sous le nom d’Iagona. Selon les chercheurs, le logiciel en question aurait pu être exploité pour déclencher une campagne de piratage à distance des distributeurs automatiques de billets.
Les failles de sécurité d’Iagona exposent les distributeurs automatiques de billets
La faille de sécurité en question a été détectée par des chercheurs en sécurité de l’équipe rouge de Synack. Ces chercheurs ont également noté que le fournisseur a corrigé les failles de sécurité en juillet 2023. L’éditeur a corrigé le bug suite au lancement de la version 2.1.38 de ScrutisWeb.
ScrutisWeb est une plateforme qui soutient les organisations et leur permet d’utiliser un navigateur web pour surveiller l’activité bancaire et les parcs de distributeurs automatiques de billets. Le logiciel permet en outre aux organisations de résoudre rapidement les problèmes liés à leurs parcs de distributeurs automatiques de billets, ce qui contribue à résoudre la plupart des plaintes tout en renforçant l’efficacité.
La solution en question peut être utilisée pour surveiller le matériel, redémarrer et arrêter les terminaux, envoyer et recevoir des fichiers et modifier des données par le biais de plateformes à distance. L’une des principales caractéristiques des parcs de distributeurs automatiques de billets est qu’ils peuvent également comprendre des automates de dépôt de chèques et des terminaux de paiement au sein d’une chaîne de restaurants.
Les chercheurs ont indiqué que quatre types de failles avaient été détectés depuis lors. Les failles en question sont répertoriées sous les noms de CVE-2023-3387, CVE-2023-38257, CVE-2023-35763 et CVE-2023-35189. Les failles contiennent diverses fonctionnalités que les hackers peuvent exploiter pour lancer des campagnes.
Les failles de sécurité peuvent causer des dommages importants
Les failles de sécurité présentent des problèmes de traversée de chemin, de clés cryptographiques codées en dur, de contournement d’autorisation et de téléchargement arbitraire de fichiers que les hackers peuvent exploiter à distance. Ces hackers peuvent s’infiltrer dans les systèmes sans être authentifiés et causer des dommages importants.
Les hackers à l’origine de cette campagne de piratage pourraient aussi exploiter ces vulnérabilités pour sécuriser les données du serveur. Les données sécurisées comprennent les configurations, les bases de données et les journaux. Les failles peuvent également exécuter des commandes arbitraires tout en recevant des mots de passe administrateur cryptés et en les décryptant à l’aide d’une clé codée en dur.
Selon ces chercheurs en sécurité, le hacker peut par ailleurs utiliser ces vulnérabilités pour accéder à la console de gestion ScrutisWeb en tant qu’administrateur. Ils peuvent aussi surveiller les activités des distributeurs automatiques de billets connectés au réseau.
Les autres fonctions que les hackers peuvent manipuler en exploitant les failles comprennent la prise en charge du mode de gestion sur les appareils des utilisateurs, le téléchargement de différents fichiers, le redémarrage et la mise hors tension des consoles. De telles campagnes de piratage peuvent avoir un impact significatif sur les DAB et les opérations normales d’une organisation.
Les hackers peuvent en outre exploiter la faille d’exécution de commande à distance pour dissimuler les traces de leur activité de piratage. Les hackers peuvent dissimuler cette activité en supprimant les fichiers pertinents qu’ils ont exploités au cours de la campagne. Ainsi, les systèmes de sécurité mis en place par l’organisation ciblée ont du mal à détecter l’exploit.
L’un des chercheurs qui a participé à l’étude a déclaré qu’il était probable qu’une exploitation plus poussée se produise à partir du point d’ancrage dans l’infrastructure du client. Dans ce cas, l’acteur de la menace dispose d’un point de pivot orienté vers l’internet. Ainsi, les hackers qui exploitent ces failles pour provoquer une violation peuvent rester intégrés dans le système ciblé.
Graves a ajouté qu’une enquête complémentaire était nécessaire pour vérifier si les hackers pouvaient mener d’autres activités malveillantes, telles que l’exfiltration des données des cartes bancaires et la redirection de transactions comme celles effectuées sur le système de transfert Swift.
Graves déclare : « Un examen plus approfondi serait nécessaire pour déterminer si un logiciel personnalisé pourrait être téléchargé sur des DAB individuels afin d’exfiltrer les données des cartes bancaires, de rediriger les transferts Swift ou de mener d’autres activités malveillantes. Toutefois, ces tests supplémentaires n’entraient pas dans le cadre de l’évaluation ».
L’agence Américaine de cybersécurité et de sécurité des infrastructures (CISA) a déjà publié un avis sur les failles de sécurité, indiquant que les organisations devaient en être conscientes et prendre des mesures pour s’assurer qu’elles n’en étaient pas victimes. La CISA a également noté que le produit concerné était présent dans le monde entier et qu’une campagne de piratage ne manquerait pas de causer des dommages importants.
La CISA a en outre recommandé une exposition minimale au réseau pour les dispositifs et systèmes du système de contrôle. En outre, il est essentiel de localiser les réseaux de systèmes de contrôle et les dispositifs distants cachés derrière des pare-feu et de les isoler des réseaux de l’entreprise.
Dans les cas où l’accès à distance est nécessaire, la CISA a exhorté les organisations à recourir à des méthodes sécurisées telles que les réseaux privés virtuels (VPN), ajoutant que ces outils peuvent contenir des failles de sécurité et doivent être mis à jour avec la version la plus récente. Outre ces mesures, la CISA a aussi invité les organisations à procéder à une analyse d’impact et à une évaluation des risques avant de recourir à des mesures correctives.