Roman Bazhin

**Nome do software vulnerável e versões afetadas** Caixas eletrônicos NCR SelfServ, versão APTRA XFS 05.01.00 **Descrição** O problema diz respeito à falta de criptografia, autenticação e verificação de integridade das mensagens entre o BNA e o computador host. Isso poderia permitir que um invasor com acesso físico aos componentes internos do caixa eletrônico executasse código arbitrário, incluindo código que possibilite ao invasor cometer falsificação de depósito. **Recomendações** Para os caixas eletrônicos NCR SelfServ versão APTRA XFS 05.01.00, considere implementar criptografia, autenticação e verificação de integridade das mensagens entre o BNA e o computador host para impedir a execução de código arbitrário. Como solução temporária, restrinja o acesso físico aos componentes internos do caixa eletrônico para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Caixas eletrônicos NCR SelfServ executando o APTRA XFS versão 05.01.00 **Descrição** O problema diz respeito à falta de validação adequada para atualizações de software relacionadas ao aceitador de maços de notas (BNA) nos caixas eletrônicos NCR SelfServ. Isso permite que um invasor com acesso físico aos componentes internos do caixa eletrônico reinicie o computador host e execute código arbitrário com privilégios de SISTEMA. A vulnerabilidade é explorada durante o processo de inicialização, quando o mecanismo de atualização procura por arquivos CAB em mídias removíveis e executa um arquivo específico sem validar a assinatura do arquivo CAB. **Recomendações** Para caixas eletrônicos NCR SelfServ executando o APTRA XFS versão 05.01.00, considere restringir o acesso físico aos componentes internos do caixa eletrônico para minimizar o risco de exploração. Como solução temporária, evite usar mídias removíveis para atualizações até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.