POS-терминалы можно атаковать через уязвимость в системах видеонаблюдения


RSA SecurityЭксперт из компании RSA Security обнаружил проблемы безопасности в прошивках камер видеонаблюдения от 70 производителей. По его предположению, уязвимость могла сыграть не последнюю роль в ряде утечек данных кредитных карт клиентов крупных торговых сетей.

Эксперт решил провести исследование после того, как ознакомился с отчетом, датированным декабрем 2014 года, компании RSA - "The Backoff POS Trojan operation". Данный документ описывал нашумевшую вредоносную кампанию по заражению PoS-терминалов в сетях магазинов в США (Target, Neiman Marcus, Michaels, UPS Store и др.) трояном Backoff.

В отчете указывалось, что преступники начали осваивать новые тактики атак на клиентов торговых компаний. В качестве нового вектора атак упоминались видеорегистраторы, являющиеся ключевыми компонентами любой системы видеонаблюдения. Взлом устройства позволял злоумышленникам удостовериться, что целевой хост в действительности принадлежит определенной компании. Кроме того, он позволял получить доступ к локальной сети, откуда и до PoS-терминалов можно было добраться.

Исследователь решил проверить, и правда ли возможно осуществить атаки на платежные терминалы путем эксплуатации уязвимостей в системах видеонаблюдения.

Для начала, с CC-серверов, он собрал данные более сотни зараженных устройств, что позволило ему составить карту открытых портов. Многие из них, вдобавок к порту 8000, оказались запущены на открытых портах 81/82. Данные web-серверы идентифицировались как Cross Web Server. Система показала, что для поиска подключенных к интернету устройств Shodan, на ПО Cross Web Server работало около 30 тыс. систем видеонаблюдения.

После этого, эксперт определил производителя систем видеонаблюдения. Логотип указывал на израильского поставщика оборудования. Но как показали комментарии в коде, по происхождению ПО уходило в китайские корни. Зайдя на сайт производителя TVT, исследователь без труда загрузил оттуда обновление прошивки видеорегистраторов.

В ходе детального анализа кода прошивки была обнаружена уязвимость, которая позволила получить удаленный доступ к видеорегистратору через вредоносный URI. Взлом устройства предоставил доступ к локальной сети, а оттуда – к PoS-терминалам. Попытки специалиста связаться с компанией TVT оказались безуспешными.


Обновлено (25.03.2016 19:51)