CVE-2018-9100 y CVE-2018-9099: Vulnerabilidades en los cajeros automáticos de Diebold Nixdorf permiten retirar efectivo fácilmente mediante un ataque de caja negra. Los bancos deben actualizar de inmediato

Una reciente investigación publicada por Positive Technologies señala el hallazgo de dos vulnerabilidades en los cajeros automáticos modelo Wincor de la línea Cineo, subsidiaria del reconocido fabricante Diebold Nixdorf. Según el reporte, la explotación exitosa de las vulnerabilidades permitiría a los atacantes hacer que la máquina arroje efectivo de forma arbitraria usando solo un comando.

Los investigadores demostraron que las protecciones contra ataques de caja negra incorporadas en estos cajeros automáticos pueden ser evadidas con solo reemplazar el firmware del controlador del dispensador de efectivo. Como algunos usuarios recordarán, estos mecanismos de seguridad consisten en aplicar cifrado de extremo a extremo en el tráfico del controlador.

Al parecer, el ataque puede ser completado exitosamente en cuestión de minutos si los actores de amenazas tienen acceso al puerto USB de la máquina comprometida. El ataque descrito por los expertos y llevado a cabo en un entorno seguro se divide en tres etapas distintas:

  • Conexión de un dispositivo de terceros a un cajero automático
  • Carga de una versión de firmware obsoleta y vulnerable
  • Explotación de vulnerabilidades conocidas para acceder al contenido de la máquina

Las vulnerabilidades, identificadas como CVE-2018-9100 y CVE-2018-9099, residen en los cajeros automáticos Wincor Cineo con dispensadores de efectivo RM3/CRS y CMD v5, respectivamente. Las organizaciones que cuentan con estas máquinas deberán abordar las fallas aplicando las actualizaciones de firmware correspondientes, o bien solicitando al fabricante que la máquina sea reemplazada con una versión más reciente.

Ambas fallas fueron descubiertas y presentadas a Diebold Nixdorf hace más de tres años y por fin han sido solucionadas, por lo que los investigadores decidieron compartir sus hallazgos con la comunidad de la ciberseguridad. Esta investigación también se presentará en la conferencia de seguridad Hardwear.io, a celebrarse en Países Bajos dentro de unos días.

Esta no es la primera vez que los investigadores de Positive Technologies encuentran fallas críticas en cajeros automáticos. En 2018, un equipo de expertos colaboró con el fabricante NCR para eliminar una falla similar en sus cajeros automáticos, misma que fue corregida antes de que pudiera ser explotada en escenarios reales.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).