MĂșltiples vulnerabilidades en cajeros Bitcoin ATM Douro de Lamassu

MĂșltiples vulnerabilidades en cajeros Bitcoin ATM Douro de Lamassu

Recursos Afectados
  • Cajeros Bitcoin ATM Douru de Lamassu, versiĂłn 7.1
DescripciĂłn

INCIBE ha coordinado la publicaciĂłn de 3 vulnerabilidades de severidad media que afectan a los cajeros bitcoin ATM Douro del fabricante Lamassu en su versiĂłn 7.1, las cuales han sido descubiertas por Gabriel GonzĂĄlez.

A estas vulnerabilidades se les han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-0674: 6.3 | CVSS:3.1/AV:P/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-269.

  • CVE-2024-0675: 6.3 | CVSS:3.1/AV:P/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-754. 

  • CVE-2024-0676: 5.6 | CVSS:3.1/AV:P/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N | CWE-521. 

3 – Media
SoluciĂłn

Las vulnerabilidades han sido resueltas en la versiĂłn 8.1.5-1 y 8.1.6. Para mĂĄs informaciĂłn, consultar la secciĂłn “Referencias”.

Detalle
  • CVE-2024-0674: vulnerabilidad de escalada de privilegios, la cual podrĂ­a permitir a un usuario local adquirir permisos de root modificando el updatescript.js, insertando un cĂłdigo especial dentro del script y creando el archivo done.txt. Esto provocarĂ­a que el proceso watchdog se ejecute como root y ejecute el payload almacenado en el updatescript.js.
  • CVE-2024-0675: vulnerabilidad de comprobaciĂłn inadecuada de condiciones inusuales o excepcionales, cuya explotaciĂłn podrĂ­a permitir a un atacante con acceso fĂ­sico al cajero escapar del modo quiosco, acceder a la interfaz Xwindow subyacente y ejecutar comandos arbitrarios como un usuario sin privilegios.
  • CVE-2024-0676: vulnerabilidad de requisitos de contraseña dĂ©biles, la cual permite a un usuario local interactuar con la mĂĄquina donde estĂĄ instalada la aplicaciĂłn, recuperar los hashes almacenados de la mĂĄquina y descifrar las contraseñas largas de 4 caracteres mediante un ataque de diccionario.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.