「鸚鵡螺」ATM 遭發現 2 個 0-day 漏洞,駭侵者可竊取用戶資訊,並快速將存鈔提領一空
參考網站: 這兩個漏洞,其中一個存於 Nautlius ATM 處理金融服務的擴充模組,也就是提款使用的軟體程式,駭侵者可以針對這個漏洞加以利用,令 ATM 快速送出所有存鈔。 另一個漏洞則存於 ATM 的遠端控制界面中,駭侵者可藉以遠端執行惡意程式碼;兩名研究人員示範了如何透過這些惡意程式碼,讓 ATM 將用戶的卡號、密碼等機敏資訊傳送到駭侵者架設的控制伺服器。 研究人員說,雖然 Hyosung America 已經針對這兩個漏洞發布修補更新,但由於 Nautlius ATM 使用的作業系統,是十年前發行的 Windows CE 6.0,在作業系統已經如此老舊的情況下,很難預期不會有其他嚴重資安漏洞出現。 兩位研究人員於今年的 DEF CON 資安大會上示範了入侵 Nautilis ATM 的過程。 |