Distributeurs de billets : Diebold et NCR corrigent des failles qui permettaient de faire des “faux dépôts”

by admin
Distributeurs de billets : Diebold et NCR corrigent des failles qui permettaient de faire des

Deux des plus grands fabricants de distributeurs automatiques de billets, Diebold Nixdorf et NCR, ont publié des mises à jour logicielles pour corriger les bogues qui auraient pu être exploités pour des attaques de “falsification de dépôts”. Les attaques de faux dépôts se produisent lorsque des fraudeurs peuvent modifier le logiciel d’un distributeur automatique de billets pour modifier le montant et la valeur des espèces déposées sur une carte de paiement.

Ces attaques sont généralement suivies de retraits rapides d’espèces, soit pendant les week-ends, soit par des transactions dans d’autres banques, les fraudeurs essayant de tirer profit des fonds inexistants avant que les banques ne détectent des erreurs dans les soldes des comptes. Deux bugs similaires affectent les distributeurs automatiques de Diebold Nixdorf et NCR

Ces bugs sont rares, mais deux ont été découverts l’année dernière et patchés cette année. Diebold Nixdorf a corrigé CVE-2020-9062, un problème affectant les distributeurs automatiques de billets USB ProCash 2100xe utilisant le logiciel Wincor Probase, tandis que NCR a corrigé CVE-2020-10124, un bug des distributeurs automatiques SelfServ utilisant le logiciel APTRA XFS.

Les deux bogues sont identiques dans leur essence, selon les avis publiés aujourd’hui par le centre de coordination du CERT de l’université Carnegie Mellon. Selon la CERT/CC, les DAB ne chiffrent pas, n’authentifient pas et ne vérifient pas l’intégrité des messages envoyés entre les DAB et l’ordinateur hôte.

Un attaquant qui dispose d’un accès physique pour se connecter au distributeur automatique peut altérer ces messages lorsque des espèces sont déposées et gonfler artificiellement les fonds déposés. Diebold et NCR ont sécurisé leurs appareils en publiant des mises à jour logicielles qui ont durci les communications entre le module de dépôt d’espèces et l’ordinateur hôte.

publicité

La divulgation et la notification sont retardées en raison des sanctions

Les deux vulnérabilités, et d’autres, ont été découvertes par des chercheurs en sécurité travaillant à Embedi, une entreprise de sécurité basée à Moscou qui a été sanctionnée par le département du Trésor américain en juin 2018 pour avoir prétendument travaillé avec le Service fédéral de sécurité (FSB), la principale agence de renseignement russe, pour renforcer les “cybercapacités offensives” de la Russie. Avant de travailler avec les chercheurs d’Embedi pour coordonner la divulgation publique de ces bogues, le CERT/CC de la CMU a dû obtenir un permis spécial de l’Office of Foreign Assets Control (OFAC) du département du Trésor américain.

Source : “ZDNet.com”

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading