События

Уязвимости в платформе SmartVista приводят к утечке данных

Исследователи из компании Rapid7 сообщили о двух уязвимостях в единой платформе для электронного бизнеса и процессинга пластиковых карт SmartVista, которые могут привести к утечке данных. Речь идет о двух проблемах, позволяющих внедрить SQL-код в системе SmartVista Front-End версии 2.2.10 (сборка 287921). Атакующий с доступом к интерфейсу SmartVista Front-End может проэксплуатировать уязвимости и получить информацию, хранящуюся в базе данных на сервере.

Страница «Транзакции» (Transactions) в разделе «Обслуживание клиентов» (Customer Service) интерфейса SmartVista Front-End позволяет пользователям просматривать данные о транзакциях, связанных с определенными картами или счетами. Проблема заключается в том, что поля, где указываются номер карты и счета, не проводят должную очистку введенной пользователем информации, пояснили эксперты. Таким образом, злоумышленник с помощью специально сформированных запросов может заставить приложение отображать информацию из базы данных сервера, в том числе логины, пароли, номера платежных карт и другие сведения о транзакциях.

По словам экспертов, при попытке ввести двоичный поисковый термин, например, ‘ or ‘1’=’1 в поле «Номер счета» (Account Number), отображается вся информация о транзакциях.

Rapid7 проинформировала разработчика платформы «БПЦ Банковские технологии» об уязвимостях в мае нынешнего года, однако компания до сих пор не выпустила корректирующие патчи. Все попытки специалистов координационных центров CERT/CC и SwissCERT связаться с вендором также оказались безуспешными. В качестве метода предотвращения эксплуатации уязвимостей специалисты рекомендуют по возможности ограничить доступ к управлению интерфейсом SmartVista, проводить мониторинг успешных и безуспешных попыток авторизации, а также установить WAF (Web Aplication Firewall - межсетевой экран прикладного уровня).

SmartVista - интегрированная полнофункциональная система, предназначенная для решения всех задач, связанных с управлением сетями банкоматов, тарификацией и выставлением счетов, мобильными и бесконтактными платежами, взаиморасчетами, приемом платежей в торговых точках, эмиссией карт, эквайрингом, микрофинансированием и обработкой электронных платежей.

«БПЦ Банковские технологии» - международная компания, специализирующаяся в области разработки и поставки технологических решений для автоматизации розничной финансовой деятельности.

Источник

Автор: Сергей Куприянов
13.10.2017 (16:39)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.