Исследователям удалось обойти защиту от атак типа black box и произвести выдачу наличных
Эксперты Positive Technologies Владимир Кононович и Алексей Стенников[1] обнаружили уязвимости в банкоматах Wincor Cineo с диспенсерами[2] RM3 и CMD-V5 (в настоящее время марка Wincor принадлежит компании Diebold Nixdorf). При наличии доступа к USB-порту контроллера диспенсера атакующий может установить устаревшую или же модифицированную версию ПО прошивки (например, с отключенным шифрованием), чтобы обойти шифрование и произвести выдачу наличных. Компания Diebold Nixdorf выпустила более 1 млн ATM и сегодня является крупнейшим производителем банкоматов с долей 32% мирового рынка.
Большинство предыдущих поколений банкоматов не могли противостоять атакам типа black box, в ходе которых к диспенсеру подключаются компьютеры или мобильные устройства, на диспенсер отправляется специальный код, и банкомат начинает выдавать деньги. В 2018 году, по оценкам Positive Technologies, для такой атаки оказались уязвимы 69% исследованных банкоматов, а взломать их можно было за несколько минут. Более современные ATM, в том числе Wincor Cineo, имеют встроенную защиту от атак black box. Между компьютером банкомата и диспенсером устанавливается сквозное шифрование, компьютер отправляет диспенсеру зашифрованные команды, и хакер, не имеющий ключей шифрования, которые хранятся на компьютере банкомата, не сможет извлечь деньги.
«В случае с Wincor Cineo нам удалось разобраться в шифровании команд, которое используется во взаимодействии ПК и контроллера, и обойти защиту от атаки типа black box, — рассказал Владимир Кононович, старший специалист отдела безопасности промышленных систем управления Positive Technologies. — На популярном сайте объявлений был куплен такой же контроллер, управляющий выдачей, какой установлен в серийных ATM Wincor. Найденные в контроллере ошибки в коде и старые ключи шифрования дали возможность подключиться к ATM с помощью собственного компьютера (как в случае с классической атакой black box), обойти шифрование и произвести выдачу наличных. В настоящее время схема атаки состоит из трех пунктов: подключение компьютера к банкомату, загрузка устаревшей и уязвимой прошивки, а в финале — эксплуатация этих уязвимостей для получения доступа к содержимому кассет внутри защищенного сейфа».
По словам Владимира, возможно, некоторые производители рассчитывают на security through obscurity — слабую изученность проприетарных протоколов, труднодоступность оборудования для поиска уязвимостей в таких устройствах. Однако исследование Positive Technologies показывает, что списанное оборудование несложно найти в открытой продаже и изучить, чем могут воспользоваться преступные группировки.
Обе уязвимости получили оценку 6,8 по шкале CVSS v3.0. Первая ошибка BDU:2021-04967 была выявлена в прошивке диспенсера модели CMD -V5 (все версии до 141128 1002 CD5_ATM.BTR и 170329 2332 CD5_ATM.FRM включительно). Вторая уязвимость BDU:2021-04968 обнаружена в прошивке диспенсера модели RM3/CRS (все версии до 41128 1002 RM3_CRS.BTR и 170329 2332 RM3_CRS.FRM включительно).
Для исправления уязвимостей кредитным организациям необходимо запрашивать у производителей банкоматов последнюю версию прошивки. Кроме того, в качестве дополнительного фактора защиты вендору рекомендуется включить физическую аутентификацию[3] для оператора во время установки встроенного программного обеспечения.
Уязвимости были обнаружены Владимиром Кононовичем и Алексеем Стенниковым в феврале 2018 года; в том же месяце о них был уведомлен производитель. Positive Technologies руководствуется принципами ответственного разглашения (responsible disclosure): всю имеющуюся у компании информацию о выявленных уязвимостях мы в первую очередь предоставляем производителю. Если компания не получает от производителя письменный ответ в течение 90 дней, то оставляет за собой право опубликовать выводы о проведенных исследованиях в ограниченном формате, не упоминая сведения, которые позволили бы третьим сторонам использовать уязвимость. С момента уведомления истекло более трех лет, уязвимости, по заверению экспертов Diebold Nixdorf, были исправлены, что дает Positive Technologies право опубликовать сведения о проведении данного исследования.
29 октября Владимир Кононович выступит на конференции Hardwear.io, посвященной безопасности аппаратных решений, где расскажет подробнее о выявленных уязвимостях.
В 2018 году эксперты Positive Technologies помогли устранить уязвимости в банкоматах другого крупнейшего производителя на рынке — компании NCR.
[1] На момент обнаружения уязвимостей в 2018 году. В настоящее время Алексей Стенников — независимый эксперт.
[2] Диспенсер управляет кассетами, которые задействуются в процессе выдачи наличных. Является сложным механизированным устройством, расположенным в нижней, более защищенной части банкомата (в сейфе). Управляется контроллером. Диспенсер — наиболее важная цель для атакующего.
[3] Физическую аутентификацию используют в качестве подтверждения того, что изменения в банкомат вносит сотрудник, а не злоумышленник. Как правило, в ходе такой аутентификации проверяют наличие доступа к защищенной зоне (safe zone) банкомата, то есть к сейфу. Предполагается, что такой доступ есть только у персонала. В качестве проверки обычно предлагается переставить в сейфе ATM кассеты согласно указанной на дисплее банкомата последовательности
