美國西雅圖網絡安全公司IOActive 7月26日發(fā)布重要安全公告，詳述了迪堡(Diebold)Opteva ATM機中存在物理與認證繞過問題。

IOActive發(fā)現迪堡AFD平臺Opteva ATM機存在兩大漏洞，如果這兩個漏洞被結合利用，可能會讓未經授權的攻擊者從ATM設備中提取現金。

由于ATM機將安全系統(tǒng)與操作系統(tǒng)分開，攻擊者必須組合利用這兩大漏洞。部署AFD平臺的Opteva 系列ATM機上層柜放的是操作系統(tǒng)，下層則為安全系統(tǒng)，且各自均具備獨立的驗證體系

研究人員首先得通過物理手段訪問內部計算機，即在ATM揚聲器孔插入金屬桿，提起金屬鎖桿打開包含計算機的ATM上層柜，之后直接訪問安全部分的AFD控制器。但他們仍需利用第二個漏洞才能提取現金。

為此，IOActive對AFD協(xié)議和固件進行了逆向工程改造。這樣一來，研究人員便能解密認證協(xié)議，之后更無需正確的認證便能實現通信。簡而言之，這兩大漏洞允許攻擊者冒充未經身份驗證的用戶，并訪問安全系統(tǒng)。

由于這個過程不需要具備設備相關專業(yè)知識，IOActive總結稱，只要設備未被修復，訪問其中一臺設備的攻擊者能對控制器協(xié)議進行逆向工程，從而有效繞過認證并從其它設備提取現金。

大多數設備廠商對修復漏洞不太熱衷

然而令人不安的是，IOActive尚不清楚漏洞是否被修復。IOActive 2016年2月向迪堡上報了該問題，但2017年1月仍未獲得公開披露漏洞的許可。

2017年2月，也就是首次通知迪堡一年后，迪堡公司給予回復，并收到IOActive提供的跟蹤日志。當IOActive跟進事情進展時，卻最終被告知測試的系統(tǒng)非常老舊(2008/2009 年)，系統(tǒng)未經更新。因此，IOActive提出重新測試最新固件的要求時，卻被無視。

Diebold選擇鍥而不舍繼續(xù)跟進，直到時隔18個月之后，也就是2017年7月26日，IOActive決定公開漏洞。目前尚不清楚設備是否已被修復，或較新版本的固件是否易遭受攻擊。