Аналитики IOActive обнаружили три уязвимости в криптовалютных банкоматах Lamassu Douro. Эти проблемы позволяют злоумышленнику, который имеет физический доступ к устройству, установить над банкоматом полный контроль и похитить средства пользователей.
Уязвимости получили идентификаторы CVE-2024-0175, CVE-2024-0176 и CVE-2024-0177, и исследователи подчеркивают, что атака на устройства может быть выполнена с тем же уровнем физического доступа, что есть у обычного клиента.
Первая проблема, как объясняет IOActive, заключается в том, что во время загрузки машина позволяет пользователю взаимодействовать с оконным менеджером базовой ОС. Хотя время для взаимодействия составляет всего несколько секунд, этого вполне достаточно для того, чтобы пользователь мог запустить установленные приложения или открыть окно терминала.
Отмечается, что для использования такого низкоуровневого доступа злоумышленнику нужно вводить команды, что обычно невозможно без подключения клавиатуры. Однако устройства Lamassu Douro поддерживают считывание QR-кодов, и исследователи воспользовались этой возможностью, создав вредоносный код с полезной нагрузкой. После считывания QR-кода полезная нагрузка приводила к root shell’у, как показано в ролике ниже.
Эксперты объясняют, что атака строится на уязвимости в механизме обновления ПО банкомата, которая позволяет предоставлять устройству вредоносный файл и использовать легитимные процессы для выполнения кода.
Кроме того, специалисты IOActive обнаружили, что в криптобанкоматах использовался слабый root-пароль, который они смогли взломать за минуту. Хуже того, этот пароль оказался одинаковым для всех машин.
В итоге все эти проблемы позволяют атакующему похищать средства пользователей.
«Поскольку злоумышленник может просматривать и манипулировать любыми операциями с захваченным банкоматом, он может в интерактивном режиме похищать деньги со счетов или кошельков пользователей, но кража будет ограничена остатком на счете человека. Более опытный злоумышленник, имея достаточную подготовку, сможет изменить или полностью подменить все настройки банкомата, а также использовать социальную инженерию и вынудить пользователя совершать дополнительные действия (например, побуждая его раскрыть данные счета в интернет-банке), обещая поощрение в виде бесплатной криптовалюты за перевода на конкретный кошелек, — говорят эксперты. — В конечном итоге, если устройство может быть взломано до уровня ОС, масштаб атаки на пользователя ограничен лишь тем, насколько пользователь доверяет устройству и его производителю».
Исследователи уведомили инженеров Lamassu обо всех трех уязвимостях еще в июле 2023 года. Производитель исправил ошибки в октябре, ужесточив разрешения, необходимые для обновления устройства, использовав более надежную парольную фразу для учетной записи root и запретив пользователям получать доступ к среде рабочего стола во время запуска ОС.
