Vulnerabilidad en las peticiones de generación de claves de sesión desde el computador host en el dispensador de moneda de los Cajeros Automáticos NCR SelfSev con APTRA XFS (CVE-2020-10123)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
21/08/2020
Última modificación:
27/08/2020
Descripción
El dispensador de moneda de los Cajeros Automáticos NCR SelfSev que ejecutan APTRA XFS versiones 05.01.00 o anteriores, no autentica adecuadamente las peticiones de generación de claves de sesión desde el computador host, permitiendo a un atacante con acceso físico a los componentes internos del Cajero Automático emitir comandos válidos para dispensar moneda al generar una nueva clave de sesión que el atacante conoce.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:ncr:aptra_xfs:*:*:*:*:*:*:*:* | 05.01.00 (incluyendo) | |
cpe:2.3:h:ncr:selfserv_atm:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://kb.cert.org/vuls/id/116713
- https://www.ncr.com/content/dam/ncrcom/content-type/documents/NCR_Secure_white_paper-Dispenser_Security_Solution_September_2018.pdf
- https://www.ncr.com/content/dam/ncrcom/content-type/documents/NCR_Security_Alert-2018-10-S1_and_S2_Critical_Update.pdf
- https://www.ncr.com/content/dam/ncrcom/content-type/documents/NCR_Security_Alert-2018-13_APTRA_XFS_v5.pdf
- https://www.ncr.com/content/dam/ncrcom/unsorted/jackpot_attacks_in_the_us_-_january_2018.pdf