Global Preloader
Vulnerabilidad
(28/Jul/2017) Se encontraron vulnerabilidades críticas en equipos ATM Diebold

Se encontraron vulnerabilidades críticas en equipos ATM Diebold

IOActive, con sede en Seattle, ha emitido un aviso de seguridad crítico que detalla un bypass físico y de autenticación en el cajero automático Diebold Opteva.

"IOActive ha descubierto dos vulnerabilidades en los cajeros automáticos Opteva con la plataforma AFD que, cuando se combinan", advierte el aviso "puede permitir a un usuario no autorizado mostrar notas desde el dispositivo".

El uso combinado de las vulnerabilidades es necesario debido a la práctica de los cajeros automáticos de separar la caja fuerte del sistema operativo. La línea Opteva de cajeros automáticos de Diebold con la plataforma AFD contiene un armario superior para el sistema operativo y un gabinete inferior para la caja fuerte, cada uno con sus propios requisitos de autenticación.

Los investigadores primero obtuvieron acceso físico a la computadora interna mediante la inserción de una barra de metal a través de un orificio de altavoz en el cajero automático, levantando una barra de bloqueo de metal y acceder a la cabina superior del cajero automático que contiene la computadora. Con el acceso a la computadora, pudieron conseguir una línea directa al regulador de AFD para la caja fuerte. Pero todavía necesitaban una segunda vulnerabilidad para llegar al dinero.

Para ello, IOActive diseñó de forma inversa el protocolo y el firmware de la AFD. A partir de aquí, el equipo fue capaz de completar el protocolo de autenticación sin cifrar y configurar las comunicaciones sin autenticación adecuada. En resumen, las dos vulnerabilidades permitieron al equipo actuar como usuario no autenticado y acceder al contenido de la caja fuerte.

Dado que el proceso no requiere ningún conocimiento específico del dispositivo, IOActive concluye que "un atacante con acceso a un dispositivo podría utilizar la ingenieria inversa suficiente en el protocolo del controlador para pasar por alto la autenticación y las notas de venta de cualquier otro dispositivo que utiliza un AFD siempre y cuando la vulnerabilidad permanezca sin parches".

El problema aquí, y uno de los aspectos más inquietantes del asesoramiento, es que IOActive no sabe si ha sido parcheado. Primero informó el problema a Diebold en febrero de 2016, pero no obtuvo una respuesta de Diebold para permitirle revelar la falla hasta enero de 2017.

En febrero de 2017, un año después de la primera notificación a Diebold, Diebold solicitó y recibió tracelogs de IOActive. IOActive trató de hacer un seguimiento, y finalmente se le dijo, "[su] ... sistema es muy antiguo (2008/2009) y no cuenta con parche". Su oferta de volver a probar el firmware actual fue ignorada, al igual que otros intentos de seguimiento con Diebold.

Por último, el 26 de julio de 2017, más de 18 meses después de contactar inicialmente con el proveedor, IOActive decidió publicarlo. En esta etapa, se desconoce si los dispositivos han sido parcheados, ni si las versiones más nuevas del firmware siguen siendo vulnerables.