加拿大POS供应商数据泄露暴露了Live RDP管理员对100k餐厅终端的访问

加拿大POS供应商数据泄露涉及一个暗网论坛上的主动访问即服务列表，具有管理权限的持久远程桌面协议访问主要销售点提供商或酒店管理服务提供商。卖方声称立足点来自巴尔干办公室的一个高特权员工帐户，并且访问权限达到约100，000个餐厅计算机和POS设备。这不是静态泄漏。它是操作控制，可以在几分钟内变成大规模支付卡盗窃或勒索软件。有关更广泛的背景，请参阅我们对最近数据泄露的报道，基础网络安全指导，我们的深度潜水恶意软件和恶意软件威胁。

根据暗网列表，高特权内部人员帐户为入侵者提供了加拿大POS供应商环境的端到端可见性，包括公司电子邮件，Slack或Teams等协作工具，和虚拟机管理程序或虚拟机控制。从这个角度来看，攻击者可以到达集中式POS管理平面并推送 软件、脚本或全国范围内下游餐厅车队的政策。该清单断言范围跨越大约100，000个端点。

这是一个典型的服务提供商爆炸半径问题。集中管理将一个妥协变成了许多妥协。如果访问是真实的，有动力的买家可以通过向POS进程分发内存抓取助手，在终端上植入后门或一次在数千个系统中放置一个储物柜来快速将其武器化。

为什么这个漏洞特别严重

大多数付款事件始于单个商家位置。在这里，违规行为始于供应商级别。这同时改变了三件事。

比例尺:一次推送可以触及多个品牌和地区的数万个终端。

速度:中央管理平面交付更改的速度比防御者隔离单个存储的速度更快。

隐身:高权限insider访问融入正常的管理操作，并经常绕过基本的警报。

内部要素是力量倍增器。高级开发人员，网络管理员或执行帐户通常拥有广泛的权利，设备信任密钥以及对黄金映像和更新清单的访问权限。即使使用MFA，缓存的令牌、服务凭证和API密钥也可以提供多个持久性路径。

可能的攻击路径和业务影响

1) 通过POS恶意软件窃取大众卡数据

实现货币化的最快途径是在加密或标记化之前拦截来自POS进程的卡数据的内存刮板。使用admin RDP和软件分发工具，攻击者可以进行签名更新，滥用合法的远程管理代理或将DLL加载到每个终端上。被盗号码可以在数小时内出现在carder市场上。

2) 跨端点和服务器的协调勒索软件

Admin RDP可访问虚拟化和编排系统，从而实现同步加密事件。参与者可以禁用端点保护，杀死进程，并将储物柜推送到商店和供应商服务器。如果可以从相同的管理平面访问快照、备份和密钥，则恢复是困难的。

3) 沉默的供应链篡改和长停留时间

患者演员可以修改金色图像，添加隐藏的管理员用户，更改更新清单或在自助服务亭中植入web skimmers，而不是嘈杂的加密。这产生了持久的盗窃和经常性收入，而没有立即检测。

4) 数据盗窃和勒索

访问公司电子邮件和聊天允许复制合同，餐厅工资单导出，忠诚度文件和合作伙伴名册。演员可以勒索供应商和个人商人。活动可能包括虚假的服务通知和利用信任的退款计划。

PCI DSS和监管风险

这种情况代表了支付安全控制的系统性失败。后果可能包括:

卡片品牌作用:通过收购银行强制PCI法医调查员参与，以及对受损账户的不合规评估。

商家影响:操作限制，所需的补救计划以及可能的大规模终端更换。

隐私法重叠:如果个人信息被供应商保留，加拿大的联邦和省级违规法律可能会触发通知义务以及付款规则。

集中管理POS队列的供应商应在所有远程管理路径上强制执行MFA、严格的网络分段、最低权限以及具有快速审查功能的强大日志记录。如果实时RDP后门暴露于internet或可通过广泛的权利访问，则会破坏这些控制。

POS供应商的即时事件响应

这是红色代码。并行行动，记录每一步。

包含特权访问

关闭外部RDP:在边缘和VPN集中器上阻止入站RDP。仅允许通过记录具有强制MFA的会话的堡垒进行紧急访问。

旋转一切:为域管理员、服务帐户、虚拟机管理程序管理员、配置管理和软件分发工具重置密码和轮换密钥。

使令牌无效:清除Kerberos票证、OAuth令牌、SSH密钥、设备证书和API凭据。在可行的情况下重新发布POS设备标识。

稳定管理平面

冻结软件分发:暂停对POS设备和后台端点的所有非关键更新，直到验证黄金来源。

强制分离:断言企业IT和POS网络之间的硬隔离。删除紧急信托捷径和直接共享。

锁定虚拟机管理程序:验证快照和模板。仅将管理接口置于MFA和IP允许列表之后。

取证和范围界定

聘请具有支付经验的DFIR:获取易变数据，查看身份验证日志和映射持久性。保存卡片品牌审查的证据。

威胁狩猎:在管理服务器上搜索内存抓取程序、DLL旁加载、未签名的服务、未经授权的RMM代理以及新的本地管理员。

外部信号:监控与您的商户群一致的BIN模式的转储。关联发行人、地理位置和时间窗口。

通信和报告

通知当局和合作伙伴:根据需要联系加拿大皇家骑警、加拿大网络安全中心、收单机构和卡品牌。尽早聘请法律顾问。

商户外展:提供即时咨询，包括具体步骤、热线详细信息和更新时间表。避免含糊不清的陈述。

准备公告语言:在DFIR进行时，要保持事实，以行动为导向，不受猜测。

餐厅客户的紧急指导

假设供应商发起的更改可能是敌对的，直到确认遏制为止。在业务连续性允许的情况下，执行以下步骤:

收紧网络态势:限制从POS vlan到所需支付主机和供应商更新服务的出站流量。阻止来自POS段的RDP、SMB和其他管理协议。

设备检查:验证终端是否仅运行已批准的版本。调查POS目录中的新服务、计划任务或不熟悉的二进制文件。

付款回退:准备具有离线限制的仅EMV回退。在处理器策略允许的情况下禁用磁条。

日志记录和警报:打开遥测配置更改、新帐户、证书添加和未签名的可执行文件。

员工简报:培训经理了解常见的违规后欺诈模式，例如退款滥用，礼品卡流失和虚假结算电话。

如果供应商确认恶意软件推送，请与您的收购方协调遏制步骤以及重新终止或密钥注入的需要。保留日志，以便进行任何必要的鉴证审查。

现在要寻找什么

身份验证异常:异常的RDP登录、来自管理工作站的横向SMB连接以及维护窗口之外的登录。

进程异常:加载到POS进程、未签名模块或具有不匹配发布者信息的二进制文件中的新dll。

管理层滥用:意外 软件作业、更改的更新清单或远程管理工具的快速安装。

出口信号:从POS vlan发送信标到未知ip、加密隧道或到新云存储桶的数据流。

围堵后的硬化与预防

零信任管理员:对每个特权操作都要求MFA，并通过堡垒进行gate访问。完全删除直接互联网RDP暴露。

段和印章:在可能的情况下，使用严格的允许列表和单向流程将公司IT、管理平面和POS网络分开。

安全更新供应链:对所有软件包进行签名，在设备上进行验证，并要求对生产推送进行双重控制，并提供完整的审核跟踪。

黄金形象的完整性:离线存储金源，在部署前验证校验和，并监控偏差。

关键卫生:服务和代理的短期凭据、自动轮换和保管库支持的机密。

检测深度:从身份系统、虚拟机管理程序、RMM工具和POS端点收集和保留日志。针对管理员滥用模式调整警报。

桌面和钻头:排练大规模推送遏制，卡品牌通知和收单机构协调，因此第一次不是真正的事件。

快速常见问题

客户卡数据是否已经被盗?在供应商层，如果恶意软件被推送，盗窃可能会很快发生。注意发行人警报并与您的收购方协调。缺乏早期信号并不等于安全。

关闭RDP将修复风险?这是必要的，但还不够。您必须轮换凭据、使令牌无效、验证黄金来源以及审核管理工具和虚拟机管理程序。

餐馆应该离线吗?如果您看到恶意更新的迹象，请根据处理器策略转到受控回退模式，并立即联系您的获取方和供应商。

展望

此事件显示了现代零售风险如何集中在服务提供商身上。具有管理员权限的实时RDP进入POS供应商是全国范围内的卡盗窃或勒索软件的交钥匙途径。期望模仿访问列表在其他酒店供应商处宣传内部人员来源的凭据。唯一持久的防御措施是删除POS队列的直接管理路径，强制执行强大的设备身份和签名更新，并将每个集中更改视为具有严格批准和监控的高风险事件。

如果您与与此事件相关的可疑文件或更新进行了交互，请使用受信任的反恶意软件工具并联系您的收购方。我们将继续更新我们的数据泄露和网络安全随着新指标的出现，各节。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/