Des vulnérabilités de sécurité ont été découvertes dans les terminaux de point de vente Verifone et Ingenico qui auraient pu permettre aux cybercriminels de voler des informations de carte de crédit, de cloner des terminaux et de commettre d'autres formes de fraude. financier. Le chercheur indépendant Aleksei Stennikov et le responsable de la recherche sur la sécurité offensive au Cyber R&D Lab Timur Yunusov ont découvert les vulnérabilités pour la première fois en 2018 et 2019 dans les terminaux Verifone VX520, Verifone MX et POS. Ingenico Telium 2. Les chercheurs ont présenté leurs découvertes à Black Hat Europe 2020 plus tôt ce mois-ci, ainsi que dans un nouveau livre blanc. Les vulnérabilités ont maintenant été corrigées par Verifone et Ingenico et les clients doivent appliquer les derniers correctifs de sécurité pour éviter d'être victimes d'attaques potentielles.
Terminaux de point de vente vulnérables
L'utilisation de mots de passe par défaut est l'une des principales vulnérabilités des terminaux Verifone et Ingenico POS concernés, car elle pourrait permettre à un attaquant d'accéder à un menu de service qui lui permettrait de manipuler ou de modifier le code machine pour exécuter des commandes malveillantes. Selon Stennikov et Yunusov, ces problèmes de sécurité existent depuis au moins 10 ans, alors que certains existent dans des éléments hérités de ces appareils qui n'ont pas été utilisés depuis 20 ans. Pour exploiter ces vulnérabilités, un attaquant devrait accéder physiquement au terminal point de vente ou y accéder à distance via Internet. Cela leur permettrait d'exécuter du code arbitraire, des dépassements de mémoire tampon et d'autres techniques courantes utilisées pour obtenir une élévation de privilèges et un contrôle total sur un appareil pour voir et voler les données qui le traversent. Étant donné qu'un terminal de point de vente est essentiellement un ordinateur connecté à Internet, un attaquant pourrait accéder au réseau d'un détaillant par hameçonnage ou toute autre méthode d'attaque, puis se déplacer latéralement à travers le réseau pour l'attaquer. . En raison de la façon dont les terminaux POS communiquent avec le reste du réseau, un attaquant pourrait accéder aux données de carte non cryptées, y compris les informations Track2 et PIN, pour voler et cloner les cartes de paiement. . Les détaillants utilisant les terminaux de point de vente Verifone et Ingenico concernés doivent télécharger et installer les derniers correctifs de sécurité dès maintenant. S'ils ne l'ont pas déjà fait, les détaillants devraient également envisager de configurer leurs appareils de point de vente sur un réseau distinct pour les protéger davantage. Selon Verifone et Ingenico, aucune des deux sociétés n'a vu d'exemples de ces vulnérabilités exploitées par des attaquants dans la nature. Via ZDNet