Les chercheurs en sécurité Aleksei Stennikov et Timur Yunusov ont récemment mis au jour des vulnérabilités chez deux des plus grands fabricants de points de vente (PoS) appareils - Verifone et Ingenico.
Les vulnérabilités présentées lors de Black Hat Europe 2020 aurait pu permettre à des cybercriminels de voler des données de carte de crédit, cloner des terminaux, et effectuer d'autres formes de fraude financière. Les acheteurs et les détaillants pourraient être touchés. Plus précisement, les appareils concernés incluent le Verifone VX520, Série Verifone MX, et l'Ingenico Telium 2 séries.
Les vulnérabilités ont été divulguées aux vendeurs, et les correctifs sont maintenant disponibles. Cependant, cela peut prendre du temps avant que toutes les parties impliquées appliquent les correctifs.
Décrire les vulnérabilités de Verifone et Ingenico PoS
L'une des failles des dispositifs PoS des deux fabricants a permis l'utilisation de mots de passe par défaut, qui pourrait permettre aux pirates d'accéder à un menu de service. Une fois obtenu, cet accès pourrait leur permettre de manipuler les machines’ code pour exécuter des commandes malveillantes. Certaines des vulnérabilités existent depuis au moins une décennie, et d'autres pour up 20 ans. Les anciennes failles se trouvent principalement dans des éléments hérités qui ne sont plus utilisés.
Comment les pirates peuvent-ils exploiter les bogues de PoS?? Une solution consiste à accéder physiquement à un terminal PoS vulnérable. Si ce n'est pas possible, l'accès peut être obtenu à distance via Internet. D'une manière ou d'une autre, les pirates visent à exécuter du code arbitraire, attaques par débordement de tampon, et toute autre technique malveillante garantissant une élévation des privilèges et un contrôle administratif. Le but final, bien sûr, c'est voler des données financières.
Comment obtenir un accès à distance à un réseau? Par hameçonnage ou autre type d'attaque qui ouvre la porte au réseau et au périphérique PoS. Les appareils PoS sont des ordinateurs, et s'ils sont connectés au réseau et à Internet, les cybercriminels peuvent tenter d'y accéder comme lors d'une attaque informatique classique. Les attaquants peuvent même accéder aux données de carte non chiffrées, y compris les détails Track2 et PIN, ce qui pourrait les aider à voler et cloner des cartes de paiement.
Pour des raisons de sécurité, il est fortement recommandé aux détaillants de conserver les appareils PoS sur un autre réseau. Si des attaquants accèdent au réseau via un système Windows, il leur serait plus difficile d'atteindre les terminaux PoS.
Verifone et Ingenico ont confirmé leur connaissance des vulnérabilités. Un correctif a déjà été publié pour empêcher les attaques. Il n'y a aucune information sur les failles exploitées dans la nature. Plus de détails sont disponibles dans les chercheurs’ rapport.
Dans 2018, Les chercheurs de Positive Technologies ont rapporté vulnérabilités dans mPoS (point de vente mobile) appareils affectant les vendeurs Square, SumUp, iZettle, et PayPal. La découverte a également été annoncée lors de la conférence Black Hat. Les attaquants pourraient modifier le montant facturé sur une carte de crédit, ou forcer les clients à utiliser d'autres méthodes de paiement, comme magstripe.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: