公開日:2020/08/24 最終更新日:2020/08/24

JVNVU#92773731
Diebold Nixdorf ProCash 2100xe USB ATM における暗号化の欠如に関する脆弱性

概要

Diebold Nixdorf ProCash 2100xe USB ATM には、暗号化の欠如および認証不備の脆弱性が存在します。

影響を受けるシステム

Wincor Probase version 1.1.30 が動作する Diebold Nixdorf ProCash 2100xe USB ATM

詳細情報

Diebold Nixdorf が提供する ProCash 2100xe USB ATM では、ATM 内部の Cash and Check Deposit Module (CCDM) とホストコンピュータとの間の通信が暗号化されておらず、また認証機構も欠如しているため、攻撃者により通信内容の窃取や改ざんが行われる可能性があります。

想定される影響

当該機器に物理的にアクセス可能な攻撃者によって、預金額の改ざん (Deposit Forgery 攻撃) が行われる可能性があります。

対策方法

アップデートする
Diebold Nixdorf は本脆弱性を修正したソフトウェアアップデートを提供しています。詳細についてはベンダに問い合わせてください。

また、Diebold Nixdorf は 2020年 7月 27日付けで "Potential CCDM Deposit Forgery" という文書を発行し、本脆弱性に対する対策情報を提供しています。この文書は Web 上で公開されていません。文書の取得についてはベンダに問い合わせてください。

ベンダ情報

参考情報

  1. Vulnerability Note VU#221785
    Diebold Nixdorf ProCash 2100xe USB ATM does not adequately secure communications between CCDM and host

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-9062
JVN iPedia