Исследователи из компании Rapid7 сообщили о двух уязвимостях в единой платформе для электронного бизнеса и процессинга пластиковых карт SmartVista, которые могут привести к утечке данных. Речь идет о двух проблемах, позволяющих внедрить SQL-код в системе SmartVista Front-End версии 2.2.10 (сборка 287921). Атакующий с доступом к интерфейсу SmartVista Front-End может проэксплуатировать уязвимости и получить информацию, хранящуюся в базе данных на сервере.
Страница «Транзакции» (Transactions) в разделе «Обслуживание клиентов» (Customer Service) интерфейса SmartVista Front-End позволяет пользователям просматривать данные о транзакциях, связанных с определенными картами или счетами. Проблема заключается в том, что поля, где указываются номер карты и счета, не проводят должную очистку введенной пользователем информации, пояснили эксперты. Таким образом, злоумышленник с помощью специально сформированных запросов может заставить приложение отображать информацию из базы данных сервера, в том числе логины, пароли, номера платежных карт и другие сведения о транзакциях.
По словам экспертов, при попытке ввести двоичный поисковый термин, например, ‘ or ‘1’=’1 в поле «Номер счета» (Account Number), отображается вся информация о транзакциях.
Rapid7 проинформировала разработчика платформы «БПЦ Банковские технологии» об уязвимостях в мае нынешнего года, однако компания до сих пор не выпустила корректирующие патчи. Все попытки специалистов координационных центров CERT/CC и SwissCERT связаться с вендором также оказались безуспешными.
В качестве метода предотвращения эксплуатации уязвимостей специалисты рекомендуют по возможности ограничить доступ к управлению интерфейсом SmartVista, проводить мониторинг успешных и безуспешных попыток авторизации, а также установить WAF (Web Aplication Firewall - межсетевой экран прикладного уровня).
SmartVista - интегрированная полнофункциональная система, предназначенная для решения всех задач, связанных с управлением сетями банкоматов, тарификацией и выставлением счетов, мобильными и бесконтактными платежами, взаиморасчетами, приемом платежей в торговых точках, эмиссией карт, эквайрингом, микрофинансированием и обработкой электронных платежей.