PT-2020-11947 · Ncr · Aptra Xfs+1
Publicado
2020-08-21
·
Atualizado
2025-11-04
·
CVE-2020-10125
CVSS v3.1
7.6
Alta
| Vetor | AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Caixas eletrônicos NCR SelfServ que executam o APTRA XFS nas versões 04.02.01 a 05.01.00
Descrição
O problema diz respeito ao uso de certificados RSA de 512 bits em caixas eletrônicos NCR SelfServ que executam o APTRA XFS para validar atualizações de software para o aceitador de maços de notas (BNA). Um invasor com acesso físico pode quebrar esses certificados em um curto período, permitindo-lhe assinar arquivos arbitrários e arquivos CAB usados para atualizações de software do BNA. Isso permite contornar a lista de aplicativos autorizados, resultando na capacidade de executar código arbitrário.
Recomendações
Para as versões 04.02.01 a 05.01.00, considere atualizar para uma versão que implemente métodos de criptografia mais robustos para validar as atualizações de software do BNA, evitando assim a exploração de certificados RSA de 512 bits vulneráveis. Como solução alternativa temporária, restrinja o acesso físico aos caixas eletrônicos para minimizar o risco de exploração.
Correção
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aptra Xfs
Ncr Selfserv Atms