کمیته رکن چهارم – آسیبپذیریهای تزریق اسکیوال وصلهنشده توسط محققان Rapid۷ در پرداخت الکترونیکی مجموعهی اسمارتویستا کشف شد، این فناوری بانکی BPC مستقر در سوئیس میتواند دادههای حساس را افشاء کند.
بستر اسمارتویستا در سازمانهای سراسر جهان برای عملیات بانکی برخط، تجارت الکترونیک، مدیریت کارت و خودپرداز و جلوگیری از تقلب استفاده میشوند. مولفههای اصلی مجموعه سامانههای سمت کاربر یا پشت صحنهی سازمانی هستند. محققان Rapid۷ کشف کردند که سمت کاربر اسمارتویستا، مخصوصا نسخهی ۲.۲.۱۰ بازبینی ۲۸۷۹۲۱ توسط دو آسیبپذیری تزریق اسکیوال تحتتاثیر قرار گرفته است.
به گفتهی این شرکت امنیتی، یک مهاجم که به رابط سمت کاربر اسمارتویستا دسترسی پیدا کرده میتواند از این آسیبپذیری برای به دست آوردن دادههای ذخیرهشده در پایگاه دادهی سمت کارگزار بهرهبرداری کند. صفحهی تراکنشها در بخش خدمات مشتری سمت کاربر اسمارتویستا به کاربران اجازه میدهد تا جزئیات واکنش مربوط با حساب یا کارت خاصی را مشاهده کنند. با این حال، زمینههایی که شمارهی حساب یا کارت در آنها وارد میشود، قادر به تایید ورودی کاربر نیستند.
این به عامل مخرب اجازه میدهد تا از پرسوجوهای مخصوص ساختهشده استفاده کند تا به برنامهها این امکان را بدهد که دادههایی مانند نام کاربری، گذرواژهها، شمارههای کارت و دیگر اطلاعات تراکنش را از پایگاه داده سمت کارگزار نمایش دهد. محققان Rapid۷ نشان دادند که در نتیجهی وارد کردن یک عبارت جستوجوی بولین مانند «یا ۱=۱» در زمینهی شمارهی حساب، تمام تراکنشها نمایش داده میشوند. هنگامیکه یک تاخیر ۵ ثانیهای در زمان وارد کردن عبارت جستوجوی بولین مشابه در زمینه شمارهی کارت پیش میآید، هنوز یک حملهی تزریق اسکیوال مبتنیبر زمان ممکن است.
شرکت Rapid۷ یافتههای خود را ۱۰ می به BPC گزارش داد، اما هنوز وصلهای منتشر نشده است. CERT/CC و SwissCERT همچنین سعی کردند تا با ارائهدهنده ارتباط برقرار کنند، اما هیچ موفقیتی به دست نیاوردند. این شرکت امنیتی به ارائهدهندهی این محصول حداقل ۶۰ روز فرصت دادند که قبل از افشاء عمومی آسیبپذیریهای کشف شده آنها را وصله کنند. Rapid۷ به کاربران توصیه کرد: «کاربران باید با پشتیبانی BPC برای جزئیات بیشتر ارتباط برقرار کنند. در عین حال، دسترسی به رابط مدیریت اسمارتویستا باید تا حد امکان محدود شود و بازرسی موفقیت یا شکست ورود به سامانه به طور مرتب انجام شود. یک دیوارهی آتش برنامهی کاربردی وب میتواند به کاهش بهرهبرداری کمک کند که به فناوریهای تزریق اسکیوال متداول وابسته است.»
منبع : news.asis.io
