研究人員詳細介紹了銷售點(PoS)終端中普遍存在的安全問題，特別是廠商Verifone和Ingenico生產的三個系列的終端設備中普遍存在這些問題。

這些問題已經向廠商進行了匯報，并且已經打上了補丁，該漏洞會使全球零售商使用的幾款流行的PoS終端面臨各種網絡攻擊的風險。受影響的設備包括Verifone VX520、Verifone MX系列和Ingenico Telium 2系列。這些設備已經被零售商進行廣泛的使用。例如，VeriFone VX520終端已經售出了超過700萬臺。

[[361339]]

網絡研發實驗室團隊的研究人員在本周對這些漏洞的分析中說:"通過使用默認密碼，我們能夠通過利用二進制漏洞(如堆棧溢出和緩沖區溢出)來執行任意代碼，這些PoS終端的漏洞使攻擊者能夠進行任意數據包的發送、克隆卡、克隆終端，并且能夠安裝持久性的惡意軟件。"

值得注意的是，受影響的設備是PoS終端，而不是PoS系統。PoS終端是讀取支付卡(如信用卡或借記卡)的設備。PoS系統包括收銀員與終端的交互，以及商家的庫存和會計記錄。

研究人員公布了這些PoS終端的兩個安全問題。主要問題是它們在出廠時使用制造商默認的密碼，但是這些密碼可以使用谷歌搜索引擎來輕易地被找到。

研究人員說："這些憑證可以對特殊的'服務模式'進行訪問，這種情況下，其中的硬件配置和其他功能都是可用的，有一家叫Ingenico的制造商，會阻止你更改這些默認的密碼。"

仔細分析這些特殊的 "服務模式"，研究人員在拆下終端并提取出其中的固件后發現，它們包含了某些"未經公開的功能"。

研究人員說:"在Ingenico和Verifone的終端中，一些函數通過利用二進制漏洞(如堆棧溢出和緩沖區溢出)從而實現了任意代碼執行的攻擊操作，20多年以來，這些'服務的超級模式'一直允許未授權訪問。通常情況下，這些功能只存在于古老廢棄的代碼中，但這些代碼現在卻仍然被部署在了新的終端中。"

攻擊者可以利用這些漏洞發起一系列的攻擊。例如，任意代碼執行攻擊可以讓攻擊者在PoS終端與其網絡之間發送和修改傳輸的數據。攻擊者還可以讀取數據，允許他們復制人們的信用卡信息，并進行信用卡詐騙。

他們說："攻擊者可以偽造和更改賬戶的交易，他們可以通過利用服務器端的漏洞，例如終端管理系統(TMS)中的漏洞，來攻擊銀行。但是這將使PoS終端與其處理器之間原有信任關系失效。"

研究人員聯系了Verifone和Ingenico，同時此后針對這些問題發布了補丁。

Verifone在2019年底被告知存在此問題，研究人員后來證實，漏洞在2020年晚些時候已經被修復了。研究人員說:"在2020年11月，PCI已經在全球范圍內發布了Verifone終端緊急更新的消息。"

同時，研究人員表示，他們花了近兩年的時間才聯系到Ingenico，并確認該漏洞已經完成了修復。

他們說:"不幸的是，他們在漏洞修復過程中沒有與我們進行合作，但我們很高興現在已經解決了問題。"

本文翻譯自：https://threatpost.com/security-issues-pos-terminals-fraud/162210/