Vulnerabilidad en la implementación de certificados RSA de 512 bits en las actualizaciones del software (BNA) en los Cajeros Automáticos NCR SelfServ con APTRA XFS (CVE-2020-10125)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-326
Fortaleza de cifrado inadecuada
Fecha de publicación:
21/08/2020
Última modificación:
27/08/2020
Descripción
Los Cajeros Automáticos NCR SelfServ que ejecutan APTRA XFS versiones 04.02.01 y 05.01.00, implementan certificados RSA de 512 bits para comprobar las actualizaciones del software (BNA), que pueden ser rotas por un atacante con acceso físico en un período de tiempo suficientemente corto, permitiendo que el atacante firme archivos arbitrarios y archivos CAB utilizados para actualizar el software BNA, así como omitir la lista blanca de aplicaciones, resultando en la capacidad de ejecutar código arbitrario.
Impacto
Puntuación base 3.x
7.60
Gravedad 3.x
ALTA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:ncr:aptra_xfs:04.02.01:*:*:*:*:*:*:* | ||
cpe:2.3:o:ncr:aptra_xfs:05.01.00:*:*:*:*:*:*:* | ||
cpe:2.3:h:ncr:selfserv_atm:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página