آسیب‌پذیری‌های بستر پرداخت اسمارت‌ویستا، داده‌های حساس را افشاء می‌کند

آسیب‌پذیری‌های تزریق اس‌کیوال وصله‌نشده توسط محققان Rapid7 در پرداخت الکترونیکی مجموعه‌ی اسمارت‌ویستا کشف شد، این فناوری بانکی BPC مستقر در سوئیس می‌تواند داده‌های حساس را افشاء کند. بستر اسمارت‌ویستا در سازمان‌های سراسر جهان برای عملیات بانکی برخط، تجارت الکترونیک، مدیریت کارت و خودپرداز و جلوگیری از تقلب استفاده می‌شوند. مولفه‌های اصلی مجموعه سامانه‌های سمت کاربر یا پشت صحنه‌ی سازمانی هستند. محققان Rapid7 کشف کردند که سمت کاربر اسمارت‌ویستا، مخصوصا نسخه‌ی ۲.۲.۱۰ بازبینی ۲۸۷۹۲۱ توسط دو آسیب‌پذیری تزریق اس‌کیوال تحت‌تاثیر قرار گرفته است.

 

به گفته‌ی این شرکت امنیتی، یک مهاجم که به رابط سمت کاربر اسمارت‌ویستا دسترسی پیدا کرده می‌تواند از این آسیب‌پذیری برای به دست آوردن داده‌های ذخیره‌شده در پایگاه داده‌ی سمت کارگزار بهره‌برداری کند. صفحه‌ی تراکنش‌ها در بخش خدمات مشتری سمت کاربر اسمارت‌ویستا به کاربران اجازه می‌دهد تا جزئیات واکنش مربوط با حساب یا کارت خاصی را مشاهده کنند. با این حال، زمینه‌هایی که شماره‌ی حساب یا کارت در آن‌ها وارد می‌شود، قادر به تایید ورودی کاربر نیستند.

 

این به عامل مخرب اجازه می‌دهد تا از پرس‌وجوهای مخصوص ساخته‌شده استفاده کند تا به برنامه‌ها این امکان را بدهد که داده‌هایی مانند نام کاربری، گذرواژه‌ها، شماره‌های کارت و دیگر اطلاعات تراکنش را از پایگاه داده سمت کارگزار نمایش دهد. محققان Rapid7 نشان دادند که در نتیجه‌ی وارد کردن یک عبارت جست‌وجوی بولین مانند «یا ۱=۱» در زمینه‌ی شماره‌ی حساب، تمام تراکنش‌ها نمایش داده می‌شوند. هنگامی‌که یک تاخیر ۵ ثانیه‌ای در زمان وارد کردن عبارت جست‌وجوی بولین مشابه در زمینه شماره‌ی کارت پیش می‌آید، هنوز یک حمله‌ی تزریق اس‌کیوال مبتنی‌بر زمان ممکن است.

 

شرکت Rapid7 یافته‌های خود را ۱۰ می به BPC گزارش داد، اما هنوز وصله‌ای منتشر نشده است. CERT/CC و SwissCERT همچنین سعی کردند تا با ارائه‌دهنده ارتباط برقرار کنند، اما هیچ موفقیتی به دست نیاوردند. این شرکت امنیتی به ارائه‌دهنده‌ی این محصول حداقل ۶۰ روز فرصت دادند که قبل از افشاء عمومی آسیب‌پذیری‌های کشف شده آن‌ها را وصله کنند. Rapid7 به کاربران توصیه کرد: «کاربران باید با پشتیبانی BPC برای جزئیات بیشتر ارتباط برقرار کنند. در عین حال، دسترسی به رابط مدیریت اسمارت‌ویستا باید تا حد امکان محدود شود و بازرسی موفقیت یا شکست ورود به سامانه به طور مرتب انجام شود. یک دیواره‌ی آتش برنامه‌ی کاربردی وب می‌تواند به کاهش بهره‌برداری کمک کند که به فناوری‌های تزریق اس‌کیوال متداول وابسته است.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید