研究人员详细介绍了销售点(PoS)终端中普遍存在的安全问题,特别是厂商Verifone和Ingenico生产的三个系列的终端设备中普遍存在这些问题。
这些问题已经向厂商进行了汇报,并且已经打上了补丁,该漏洞会使全球零售商使用的几款流行的PoS终端面临各种网络攻击的风险。受影响的设备包括Verifone VX520、Verifone MX系列和Ingenico Telium 2系列。这些设备已经被零售商进行广泛的使用。例如,VeriFone VX520终端已经售出了超过700万台。
网络研发实验室团队的研究人员在本周对这些漏洞的分析中说:"通过使用默认密码,我们能够通过利用二进制漏洞(如堆栈溢出和缓冲区溢出)来执行任意代码,这些PoS终端的漏洞使攻击者能够进行任意数据包的发送、克隆卡、克隆终端,并且能够安装持久性的恶意软件。"
值得注意的是,受影响的设备是PoS终端,而不是PoS系统。PoS终端是读取支付卡(如信用卡或借记卡)的设备。PoS系统包括收银员与终端的交互,以及商家的库存和会计记录。
研究人员公布了这些PoS终端的两个安全问题。主要问题是它们在出厂时使用制造商默认的密码,但是这些密码可以使用谷歌搜索引擎来轻易地被找到。
研究人员说:"这些凭证可以对特殊的'服务模式'进行访问,这种情况下,其中的硬件配置和其他功能都是可用的,有一家叫Ingenico的制造商,会阻止你更改这些默认的密码。"
仔细分析这些特殊的 "服务模式",研究人员在拆下终端并提取出其中的固件后发现,它们包含了某些"未经公开的功能"。
研究人员说:"在Ingenico和Verifone的终端中,一些函数通过利用二进制漏洞(如堆栈溢出和缓冲区溢出)从而实现了任意代码执行的攻击操作,20多年以来,这些'服务的超级模式'一直允许未授权访问。通常情况下,这些功能只存在于古老废弃的代码中,但这些代码现在却仍然被部署在了新的终端中。"
攻击者可以利用这些漏洞发起一系列的攻击。例如,任意代码执行攻击可以让攻击者在PoS终端与其网络之间发送和修改传输的数据。攻击者还可以读取数据,允许他们复制人们的信用卡信息,并进行信用卡诈骗。
他们说:"攻击者可以伪造和更改账户的交易,他们可以通过利用服务器端的漏洞,例如终端管理系统(TMS)中的漏洞,来攻击银行。但是这将使PoS终端与其处理器之间原有信任关系失效。"
研究人员联系了Verifone和Ingenico,同时此后针对这些问题发布了补丁。
Verifone在2019年底被告知存在此问题,研究人员后来证实,漏洞在2020年晚些时候已经被修复了。研究人员说:"在2020年11月,PCI已经在全球范围内发布了Verifone终端紧急更新的消息。"
同时,研究人员表示,他们花了近两年的时间才联系到Ingenico,并确认该漏洞已经完成了修复。
他们说:"不幸的是,他们在漏洞修复过程中没有与我们进行合作,但我们很高兴现在已经解决了问题。"
本文翻译自:https://threatpost.com/security-issues-pos-terminals-fraud/162210/