`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

POS-терминалы Verifone содержали опасные уязвимости

7 декабря 2020 г., 15:25
0 
 

POS-терминалы Verifone содержали опасные уязвимости

Уязвимости в кассовых POS-терминалах, выявленные специалистами Positive Technologies, могут использоваться для перехвата пин-кодов банковских крат, подмены информации о сумме транзакции на экране терминала, отправки в банк-эквайер запроса на списание произвольной суммы и других атак. Этим проблемам потенциально подвержены различные терминалы серий MX, VX и UX. Уязвимые устройства используются в розничных сетях во всем мире. Компания Verifone выпустила новые версии микропрограммного обеспечения, в которых данные проблемы устранены, и рекомендует обновить ПО оборудования как можно скорее.

Ошибки связаны с возможностью обойти шифрование и другие ограничения безопасности, вызвать переполнение буфера в ПО, использовать инженерные пароли и незащищенный режим восстановления. Эти и другие проблемы терминалов позволяют записать вредоносное ПО для получения полного контроля над устройством для приема банковских карт. Злоумышленник может, например, считывать платежные данные, включая магнитную полосу банковских карт (для использования в регионах, где транзакции еще могут верифицироваться магнитной полосой, например в США и некоторых странах Азии) или посылать произвольные команды авторизации в банки-эквайеры.

Уязвимые терминалы могут также использоваться для подбора неизвестной информации о пользовательских картах с помощью метода Distributed Guessing Attack (распределенного перебора). При таких атаках неизвестное поле, например трехзначный код проверки подлинности карты CVV2, подбирается путем осуществления одновременных попыток оплаты в сотнях интернет-магазинах с различными значениями CVV2 до тех пор, пока злоумышленник не выяснит действительный трехзначный код карты.

Уязвимости получили идентификаторы CVE-2019-14711 (оценка 8.8 баллов по шкале CVSS v3.0), CVE-2019-14712 (8.2 балла), CVE-2019-14713 (8.2 балла), CVE-2019-14715 (7.6 баллов), CVE-2019-14716 (7.3 балла), CVE-2019-14717 (8.2 балла), CVE-2019-14718 (8.2 балла), CVE-2019-14719 (6.3 балла).

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT