公開日:2020/08/24 最終更新日:2020/08/24

JVNVU#93330893
NCR SelfServ ATM における複数の脆弱性

概要

NCR が提供する SelfServ ATM には、複数の脆弱性が存在します。

影響を受けるシステム

APTRA XFS 05.01.00 およびそれ以前のバージョンが動作している NCR SelfServ ATM

 

詳細情報

NCR が提供する SelfServ ATM には、次の複数の脆弱性が存在します。

  • バッファオーバーフロー - CVE-2020-9063
    当該機器とホストコンピュータ間の USB HID 通信に認証機構が存在せず、完全性の保護機構も欠如しているため、攻撃者により不正なデータを送信され、ホストコンピュータ上でバッファオーバーフローが発生する可能性があります。
  • セッション鍵生成要求の検証不備 - CVE-2020-10123
    ホストコンピュータからのセッション鍵生成要求の検証処理に不備があり、攻撃者により不正なセッション鍵が生成される可能性があります。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 当該機器に物理的にアクセス可能な攻撃者により、ホストコンピュータ上で任意のコードが実行される - CVE-2020-9063
  • 当該機器に物理的にアクセス可能な攻撃者により、不正に現金が引き出される - CVE-2020-10123

対策方法

製品の刷新または使用停止を検討する
APTRA XFS 05.01 は 2015年にサポートが終了しています。古いバージョンが動作する機器を使用している場合、当該機器の刷新を検討してください。

ファームウェアをアップデートする
NCR から APTRA XFS Dispenser Security Update 01.00.00 が提供されています。
このアップデートには、脆弱性を修正した以下のファームウェアが含まれてます。

  • USBCurrencyDispenser 04.01.01, firmware 0x0167 (for S1 dispensers)
  • USBMediaDispenser 03.04.00, firmware 0x0118 (for S2 dispensers)

設定を変更する
ファームウェアのアップデートに加えて以下の設定変更を行うことが NCR により推奨されています。詳細については NCR Secure Whitepaper を参照してください。
  • Dispenser Protection Level: Level 3 (Physical Protection) for S1 and S2 dispensers
  • Dispenser Authentication Sequence: Sequence 2 or higher (for S1 dispensers), or Sequence 1 or higher (for S2 dispensers)

ベンダ情報

ベンダ リンク
NCR Critical Platform Component Update for S1 and S2 Currency Dispenser
Warning of Logical (Jackpot) Attacks on ATMs in the United States
APTRA XFS Platform Component Security Update
Solution: Dispenser Security Solution – September 2018

参考情報

  1. Vulnerability Note VU#116713
    NCR SelfServ ATM dispenser software contains multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-9063
CVE-2020-10123
JVN iPedia