Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la implementación de certificados RSA de 512 bits en las actualizaciones del software (BNA) en los Cajeros Automáticos NCR SelfServ con APTRA XFS (CVE-2020-10125)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-326 Fortaleza de cifrado inadecuada
Fecha de publicación:
21/08/2020
Última modificación:
27/08/2020

Descripción

Los Cajeros Automáticos NCR SelfServ que ejecutan APTRA XFS versiones 04.02.01 y 05.01.00, implementan certificados RSA de 512 bits para comprobar las actualizaciones del software (BNA), que pueden ser rotas por un atacante con acceso físico en un período de tiempo suficientemente corto, permitiendo que el atacante firme archivos arbitrarios y archivos CAB utilizados para actualizar el software BNA, así como omitir la lista blanca de aplicaciones, resultando en la capacidad de ejecutar código arbitrario.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:ncr:aptra_xfs:04.02.01:*:*:*:*:*:*:*
cpe:2.3:o:ncr:aptra_xfs:05.01.00:*:*:*:*:*:*:*
cpe:2.3:h:ncr:selfserv_atm:-:*:*:*:*:*:*:*