公開日:2020/08/24 最終更新日:2020/08/24
JVNVU#99081767
NCR SelfServ ATM BNA における複数の脆弱性
NCR が提供するNCR SelfServ ATM BNAには、複数の脆弱性が存在します。
APTRA XFS 04.02.01 および 05.01.00 が動作し、かつ Bunch Note Accepter (BNA) が搭載されている NCR SelfServ ATM
NCR が提供する SelfServ ATM BNAには、次の複数の脆弱性が存在します。
- 暗号化および認証の欠如 - CVE-2020-10124
BNA とホストコンピュータ間の通信が暗号化されておらず、また認証機構も欠如しているため、攻撃者により通信内容の窃取や改ざんが行われる可能性があります。 - 不適切な暗号強度 - CVE-2020-10125
BNA のソフトウェア更新ファイルの証明書には強度の低い 512 ビット長の RSA 鍵が用いられており、攻撃者により容易に解析されてしまいます。そのため BNA のソフトウェア更新時に攻撃者により不正なファイルを読み込ませられ、結果として任意のコードを実行させられる可能性があります。 - 認証回避 - CVE-2020-10126
BNA のソフトウェア更新処理において、更新ファイルの検証が行われる前にリムーバブルメディアから任意のファイルを読み込み実行してしまう状況が発生することがあります。その結果、攻撃者によりシステムの認証を回避され、SYSTEM 権限で任意のコードが実行される可能性があります。
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該機器に物理的にアクセス可能な攻撃者によって、預金額の改ざんが行われる (Deposit Forgery 攻撃) - CVE-2020-10124
- 当該機器に物理的にアクセス可能な攻撃者によって、任意のコードを実行させられる - CVE-2020-10125
- 当該機器に物理的にアクセス可能な攻撃者によって、SYSTEM 権限で任意のコードを実行させられる - CVE-2020-10125
アップデートする
ソフトウェアを APTRA XFS 06.08 にアップデートしてください。
| ベンダ | リンク |
| NCR | APTRA XFS Platform Component Security Update |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-10124 |
|
CVE-2020-10125 |
|
|
CVE-2020-10126 |
|
| JVN iPedia |
|
