JVNDB-2020-007740
|
NCR SelfServ ATM BNA における複数の脆弱性
|
|
NCR が提供する SelfServ ATM BNAには、次の複数の脆弱性が存在します。
* 暗号化および認証の欠如 - CVE-2020-10124
BNA とホストコンピュータ間の通信が暗号化されておらず、また認証機構も欠如しているため、攻撃者により通信内容の窃取や改ざんが行われる可能性があります。
* 不適切な暗号強度 - CVE-2020-10125
BNA のソフトウェア更新ファイルの証明書には強度の低い 512 ビット長の RSA 鍵が用いられており、攻撃者により容易に解析されてしまいます。そのため BNA のソフトウェア更新時に攻撃者により不正なファイルを読み込ませられ、結果として任意のコードを実行させられる可能性があります。
* 認証回避 - CVE-2020-10126
BNA のソフトウェア更新処理において、更新ファイルの検証が行われる前にリムーバブルメディアから任意のファイルを読み込み実行してしまう状況が発生することがあります。その結果、攻撃者によりシステムの認証を回避され、SYSTEM 権限で任意のコードが実行される可能性があります。
|
|
CVSS v3 による深刻度
基本値: 7.6 (重要) [NVD値]
- 攻撃元区分: 物理
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 7.2 (危険) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
APTRA XFS 04.02.01 および 05.01.00 が動作し、かつ Bunch Note Accepter (BNA) が搭載されている NCR SelfServ ATM
|
NCR
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* 当該機器に物理的にアクセス可能な攻撃者によって、預金額の改ざんが行われる (Deposit Forgery 攻撃) - CVE-2020-10124
* 当該機器に物理的にアクセス可能な攻撃者によって、任意のコードを実行させられる - CVE-2020-10125
* 当該機器に物理的にアクセス可能な攻撃者によって、SYSTEM 権限で任意のコードを実行させられる - CVE-2020-10125
|
|
[アップデートする]
ソフトウェアを APTRA XFS 06.08 にアップデートしてください。
|
|
NCR
|
|
- 重要な情報の平文での送信(CWE-319) [NVD評価]
- 不適切な暗号強度(CWE-326) [NVD評価]
- デジタル署名の不適切な検証(CWE-347) [NVD評価]
|
|
- CVE-2020-10124
- CVE-2020-10126
- CVE-2020-10125
|
|
- JVN : JVNVU#99081767
- National Vulnerability Database (NVD) : CVE-2020-10124
- National Vulnerability Database (NVD) : CVE-2020-10126
- National Vulnerability Database (NVD) : CVE-2020-10125
- US-CERT Vulnerability Note : VU#815655
|
|
|
