В самых популярных на российском рынке банкоматах производства американской компании NCR обнаружена серьезная уязвимость, которая позволяет изымать наличность через сейфовую часть устройства. Производитель банкоматов NCR устранил дефект еще полгода назад, однако российские банки обновления не получили, пишет «Коммерсант».
Эксперты Positive Technologies сообщили 9 августа на конференции по информационной безопасности Black Hat в Лас-Вегасе о выявленной компанией уязвимости банкоматов NCR. Проблема заключается в том, что хакер может установить на контроллер диспенсера (сейфовой части банкомата для выдачи купюр) устаревшее и менее защищенное ПО с использованием технологии Black Box. А именно: подключить одноплатный компьютер к диспенсеру, используя недостатки защиты сервисной зоны банкомата, и отправить команду на снятие наличных. Уязвимости связаны с недостаточной защитой механизма записи памяти в двух моделях диспенсеров — S1 и S2.
По словам директора исследовательского центра компании Digital Security Романа Бажина, банкоматы NCR являются одними из самых распространенных в России. Только на сервисном обслуживании компании «Эн. Си. Ар., NCR A/O» находятся более 40 тыс. банкоматов (по данным ЦБ, общее количество банкоматов различных производителей на 1 апреля составляло около 200 тыс. штук). При этом подавляющее большинство из них имеют диспенсер S1, банкоматы с диспенсером S2 распространены менее широко. По словам Бажина, выявленная уязвимость является очень серьезной.
К тому же чтобы ее исправить, необходимо устанавливать обновление программного обеспечения вручную на каждый банкомат. «Обновление достаточно сложное, потребуется подключаться к каждому устройству, а это весьма проблематично, учитывая большую территориальную распределенность банкоматов», — подчеркнул эксперт.
Эксперты Positive Technologies выявили уязвимость и сообщили о ней в головной офис NCR. 6 февраля 2018 года NCR на своем сайте www.ncr.com вывесила пресс-релиз об устранении уязвимости, выпуске обновления и дала рекомендации его установить. Однако российские банки, которые используют эти банкоматы, узнали об уязвимости от корреспондента издания. Естественно, что они не получили и обновления программного обеспечения для ее устранения. Результат — резкий рост атак на банкоматы весной этого года. Только в апреле с использованием технологии Black Box было атаковано десять устройств (для сравнения: за весь 2017 год — 21).
В ряде атак злоумышленники использовали именно выявленную уязвимость. Однако неизвестно, насколько успешными были отражения этих атак. По словам Бажина, информация об успешных атаках тщательно скрывается банками, так как несет репутационные риски.