研究人員詳細(xì)介紹了銷售點(diǎn)(PoS)終端中普遍存在的安全問題，特別是廠商Verifone和Ingenico生產(chǎn)的三個(gè)系列的終端設(shè)備中普遍存在這些問題。

這些問題已經(jīng)向廠商進(jìn)行了匯報(bào)，并且已經(jīng)打上了補(bǔ)丁，該漏洞會(huì)使全球零售商使用的幾款流行的PoS終端面臨各種網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。受影響的設(shè)備包括Verifone VX520、Verifone MX系列和Ingenico Telium 2系列。這些設(shè)備已經(jīng)被零售商進(jìn)行廣泛的使用。例如，VeriFone VX520終端已經(jīng)售出了超過700萬臺(tái)。

[[361339]]

網(wǎng)絡(luò)研發(fā)實(shí)驗(yàn)室團(tuán)隊(duì)的研究人員在本周對(duì)這些漏洞的分析中說:"通過使用默認(rèn)密碼，我們能夠通過利用二進(jìn)制漏洞(如堆棧溢出和緩沖區(qū)溢出)來執(zhí)行任意代碼，這些PoS終端的漏洞使攻擊者能夠進(jìn)行任意數(shù)據(jù)包的發(fā)送、克隆卡、克隆終端，并且能夠安裝持久性的惡意軟件。"

值得注意的是，受影響的設(shè)備是PoS終端，而不是PoS系統(tǒng)。PoS終端是讀取支付卡(如信用卡或借記卡)的設(shè)備。PoS系統(tǒng)包括收銀員與終端的交互，以及商家的庫存和會(huì)計(jì)記錄。

研究人員公布了這些PoS終端的兩個(gè)安全問題。主要問題是它們?cè)诔鰪S時(shí)使用制造商默認(rèn)的密碼，但是這些密碼可以使用谷歌搜索引擎來輕易地被找到。

研究人員說："這些憑證可以對(duì)特殊的'服務(wù)模式'進(jìn)行訪問，這種情況下，其中的硬件配置和其他功能都是可用的，有一家叫Ingenico的制造商，會(huì)阻止你更改這些默認(rèn)的密碼。"

仔細(xì)分析這些特殊的 "服務(wù)模式"，研究人員在拆下終端并提取出其中的固件后發(fā)現(xiàn)，它們包含了某些"未經(jīng)公開的功能"。

研究人員說:"在Ingenico和Verifone的終端中，一些函數(shù)通過利用二進(jìn)制漏洞(如堆棧溢出和緩沖區(qū)溢出)從而實(shí)現(xiàn)了任意代碼執(zhí)行的攻擊操作，20多年以來，這些'服務(wù)的超級(jí)模式'一直允許未授權(quán)訪問。通常情況下，這些功能只存在于古老廢棄的代碼中，但這些代碼現(xiàn)在卻仍然被部署在了新的終端中。"

攻擊者可以利用這些漏洞發(fā)起一系列的攻擊。例如，任意代碼執(zhí)行攻擊可以讓攻擊者在PoS終端與其網(wǎng)絡(luò)之間發(fā)送和修改傳輸?shù)臄?shù)據(jù)。攻擊者還可以讀取數(shù)據(jù)，允許他們復(fù)制人們的信用卡信息，并進(jìn)行信用卡詐騙。

他們說："攻擊者可以偽造和更改賬戶的交易，他們可以通過利用服務(wù)器端的漏洞，例如終端管理系統(tǒng)(TMS)中的漏洞，來攻擊銀行。但是這將使PoS終端與其處理器之間原有信任關(guān)系失效。"

研究人員聯(lián)系了Verifone和Ingenico，同時(shí)此后針對(duì)這些問題發(fā)布了補(bǔ)丁。

Verifone在2019年底被告知存在此問題，研究人員后來證實(shí)，漏洞在2020年晚些時(shí)候已經(jīng)被修復(fù)了。研究人員說:"在2020年11月，PCI已經(jīng)在全球范圍內(nèi)發(fā)布了Verifone終端緊急更新的消息。"

同時(shí)，研究人員表示，他們花了近兩年的時(shí)間才聯(lián)系到Ingenico，并確認(rèn)該漏洞已經(jīng)完成了修復(fù)。

他們說:"不幸的是，他們?cè)诼┒葱迯?fù)過程中沒有與我們進(jìn)行合作，但我們很高興現(xiàn)在已經(jīng)解決了問題。"

本文翻譯自：https://threatpost.com/security-issues-pos-terminals-fraud/162210/