「鸚鵡螺」ATM 遭發現 2 個 0-day 漏洞，駭侵者可竊取用戶資訊，並快速將存鈔提領一空

• 發布日期：109-11-20
• 發布單位：刑事警察大隊

參考網站：
TWCERT/CC 「鸚鵡螺」ATM 遭發現 2 個 0-day 漏洞，駭侵者可竊取用戶資訊，並快速將存鈔提領一空
https://www.twcert.org.tw/tw/cp-104-3859-39350-1.html
資安廠商 Red Balloon 旗下的兩名研究人員 Brenda So 和 Trey Keown 指出，由 Hyosung America 製造的 Nautlius「鸚鵡螺」ATM 機台，本身存有兩個 0-day 漏洞；除了可讓駭侵者取得用戶在銀行的往來記錄等機敏資訊，更能快速將 ATM 機身內的存鈔盜領一空。

這兩個漏洞，其中一個存於 Nautlius ATM 處理金融服務的擴充模組，也就是提款使用的軟體程式，駭侵者可以針對這個漏洞加以利用，令 ATM 快速送出所有存鈔。

另一個漏洞則存於 ATM 的遠端控制界面中，駭侵者可藉以遠端執行惡意程式碼；兩名研究人員示範了如何透過這些惡意程式碼，讓 ATM 將用戶的卡號、密碼等機敏資訊傳送到駭侵者架設的控制伺服器。

研究人員說，雖然 Hyosung America 已經針對這兩個漏洞發布修補更新，但由於 Nautlius ATM 使用的作業系統，是十年前發行的 Windows CE 6.0，在作業系統已經如此老舊的情況下，很難預期不會有其他嚴重資安漏洞出現。 

兩位研究人員於今年的 DEF CON 資安大會上示範了入侵 Nautilis ATM 的過程。