研究人员详细介绍了销售点(PoS)终端中普遍存在的安全问题,特别是来自供应商Verifone和Ingenico的三个终端设备系列。这些问题已报告给供应商并已修补,使全球零售商使用的几种流行的PoS终端面临各种网络攻击的风险。受影响的设备包括VerifoneVX520、VerifoneMX系列和IngenicoTelium2系列。这些设备已经被零售商广泛使用。例如,VeriFoneVX520终端已售出超过700万台。“通过使用默认密码,我们能够利用堆栈溢出和缓冲区溢出等二进制漏洞执行任意代码,这些漏洞是PoS终端中的漏洞,”网络研发实验室团队的研究人员在本周对漏洞的分析中表示。使攻击者能够发送任意数据包、克隆卡、克隆终端并安装持久性恶意软件。”值得注意的是,受影响的设备是PoS终端,而不是PoS系统。PoS终端是读取信用卡或借记卡等支付卡的设备。PoS系统包括收银员与终端的交互,以及商家的库存和会计记录。研究人员发布了这些PoS终端的两个安全问题。主要问题是它们出厂时带有制造商的默认代码,但这些代码可以使用谷歌搜索引擎轻松找到。“这些凭据可以访问特殊的‘服务模式’,在该模式下可以使用硬件配置和其他功能,并且名为Ingenico的制造商会阻止您更改这些默认设置,”研究人员说。密码。”仔细分析这些特殊的“服务模式”后,研究人员发现,在拆解终端并提取固件后,它们包含了某些“未公开的功能”。“在Ingenico和Verifone的端点中,一些函数通过利用二进制漏洞(例如堆栈溢出和缓冲区溢出)来实现任意代码执行,”研究人员说。允许未经授权的访问。通常,这些功能只存在于旧的过时代码中,但这些代码仍然部署在新的端点中。”攻击者可以利用这些漏洞发起一系列攻击。例如,任意代码执行攻击可能允许攻击者发送和修改在PoS终端与其网络之间传输数据。攻击者还可以读取数据,从而复制人们的信用卡信息并实施信用卡欺诈。“攻击者可以伪造和更改账户上的交易,他们可以通过利用服务器端的漏洞来攻击银行,例如终端管理系统(TMS)中的漏洞,”他们说。信任关系破裂。”研究人员联系了Verifone和Ingenico,他们随后发布了针对该问题的补丁。Verifone在2019年底收到了该问题的通知,研究人员随后确认该漏洞已于2020年晚些时候得到修复。“2020年11月,PCI研究人员表示,他们已经在全球范围内宣布了Verifone端点的紧急更新。与此同时,研究人员表示,他们花了将近两年的时间才联系到Ingenico并确认漏洞修复已经完成。他们说:“不幸的是,他们没有合作在错误修复过程中与我们一起,但我们很高兴问题现在已经得到解决。”本文翻译自:https://threatpost.com/security-issues-pos-terminals-fraud/162210/
