Diebold Nixdorf warnt Kunden vor RCE-Bug in älteren Geldautomaten

Diebold Nixdorf, einer der weltweit größten Geldautomatenanbieter, wird Kunden ab nächster Woche über Möglichkeiten zur Absicherung älterer Geldautomaten informieren Geldautomaten der Marke Opteva gegen eine RCE-Schwachstelle (Remote Code Execution), die diese Woche öffentlich bekannt wurde.

Details zu dieser Sicherheitslücke wurden am Montag, dem 4. Juni, von einer Gruppe vietnamesischer Sicherheitsforscher namens NightSt0rm auf Medium veröffentlicht.

Der Betriebssystemdienst bleibt über HTTP geöffnet

Forscher sagten, sie hätten auf älteren Opteva-Geldautomaten-Terminals einen nach außen gerichteten Betriebssystemdienst gefunden, der missbraucht werden könnte, um Reverse Shells auf exponierten Systemen zu platzieren und Geräte zu übernehmen.

„Die potenzielle Gefährdung war Teil der Nutzung des Agilis XFS-Dienstes .Net-Remoting über einen nach außen gerichteten HTTP-Kanal“, schrieb Diebold Nixdorf eine Sicherheitswarnung, die das Unternehmen gestern mit ZDNet geteilt hat, und die sie am Montag nächster Woche an die Kunden versenden wollen.

Das Unternehmen gibt an, dass dieser Dienst nur auf der Opteva-Software Version 4.x läuft. Aktuelle Versionen sind nicht betroffen.

Der Geldautomatenhersteller hat Agilis Dieser Software-Fix soll verhindern, dass entfernte Angreifer über das Internet oder ein lokales Netzwerk mit dem Gerät interagieren können.

Die Firewall muss deaktiviert sein

„Im Allgemeinen kann der Angriff durch den Einsatz einer ordnungsgemäß konfigurierten, terminalbasierten Firewall abgeschwächt werden“, sagte ein Sprecher von Diebold Nixdorf ZDNet in einer E-Mail. Die älteren Opteva-Geldautomaten werden mit einer solchen Firewall ausgeliefert.

Das Unternehmen sagte, die Forscher hätten diese Firewall während ihrer Tests deaktiviert, und die Opteva-Geldautomaten sollten dies auch tun normalerweise sicher gegen Angriffe, die diese Schwachstelle ausnutzen – es sei denn, Geldautomatenbesitzer haben die Firewall deaktiviert Zweck.

Das Unternehmen ergreift jedoch alle notwendigen Schritte, um Kunden vor möglichen Fehlkonfigurationen zu warnen. Neben einem Software-Update wird der Geldautomatenhersteller auch fünf zusätzliche Schritte einbauen, die Kunden implementieren können, um Geräte vor Angriffen zu schützen.

Verantwortungsvolle Offenlegungs-Snafu

NightSt0rm veröffentlichte diese Woche Details zu dieser äußerst gefährlichen RCE-Sicherheitslücke, nachdem das Unternehmen Diebold Nixdorf kontaktiert und keine Antwort erhalten hatte.

Der Geldautomatenverkäufer teilte dies jedoch mit ZDNet es war alles ein Missverständnis.

„Leider haben sie sich zunächst über das Kontaktformular auf unserer Website an uns gewandt, woraufhin Hunderte von Anfragen eingehen jeden Monat Einreichungen mit einer sehr allgemeinen Behauptung über eine Sicherheitslücke in einem unserer Geldautomaten“, sagte ein Sprecher uns.

„Ihre anfänglichen Ansprüche wurden nicht ignoriert. Wir haben diese Woche mit ihnen Kontakt aufgenommen, um mehr zu erfahren.“

Alles in allem sollte diese Schwachstelle behoben werden, bevor überhaupt Angriffe durchgeführt werden, es sei denn, eine Bank war bei der Verwaltung ihrer Geldautomatenflotte äußerst unprofessionell und schlampig.

„Zu diesem Zeitpunkt haben wir keine Berichte darüber erhalten, dass dieser Angriff in einer realen Situation vor Ort ausgenutzt wurde“, sagte Diebold Nixdorf ZDNet per Email.

Weitere Schwachstellenberichte:

• Neue RCE-Schwachstelle betrifft fast die Hälfte der E-Mail-Server im Internet
• Sogar die NSA fordert Windows-Benutzer dringend auf, BlueKeep zu patchen (CVE-2019-0708)
  
• Windows 10 Zero-Day-Details auf GitHub veröffentlicht
• Nur 5,5 % aller Sicherheitslücken werden jemals in freier Wildbahn ausgenutzt
• Apple hat immer noch Probleme damit, synthetische Klicks zu stoppen
• Remote-Angriffsfehler im IPTV-Streaming-Dienst gefunden
• KRACK-Angriff: So reagieren UnternehmenCNET
• Top 10 der App-Schwachstellen: Ungepatchte Plugins und Erweiterungen dominieren TechRepublic