Дослідники SEC Consult (Eviden) повідомили про критичну вразливість CVE-2025-8699 у частині передплачених NFC-карт екосистеми KioSoft — постачальника платіжних рішень для пралень самообслуговування, вендінгових автоматів, ігрових залів і автомийок. Помилка дозволяла збільшувати баланс карт без фактичної оплати; закриття проблеми розтягнулося більш ніж на рік.
Масштаб впровадження KioSoft і суть проблеми безпеки
KioSoft заявляє про понад 41 000 встановлених кіосків і 1,6 млн платіжних терміналів у 35 країнах. За оцінкою SEC Consult, уразливість зачіпала підмножину передплачених карт, що використовувалися в окремих моделях терміналів. Проблему виявили ще у 2023 році, і вона була зумовлена тим, що дані про баланс зберігалися безпосередньо на картці, а не в захищеній серверній системі.
Дизайн системи: офлайн-зберігання балансу на карті
Офлайн-рахунок на карті спрощує роботу у середовищах із нестабільним зв’язком, але створює додатковий вектор ризику: компрометація ключів доступу дає змогу маніпулювати балансом локально, без звернення до бекенда. У випадку KioSoft це зробило можливими несанкціоновані зміни значення балансу.
MIFARE Classic: давні криптографічні слабкості
Уразливі карти базувалися на MIFARE Classic — технології з давно задокументованими криптографічними недоліками. Академічні роботи 2007–2008 років продемонстрували практичні атаки на схему аутентифікації та систему ключів, що дозволяють читати й змінювати дані на карті. На тлі цих відомих обмежень перехід на сучасні варіанти, такі як MIFARE DESFire EV2/EV3 з AES і режимом безпеки SL3, став де-факто галузевим стандартом.
Як могли зловживати CVE-2025-8699: інструменти та межі впливу
За даними SEC Consult, для зловживання достатньо універсального RFID-обладнання на кшталт Proxmark і базових знань про слабкі місця MIFARE Classic. Дослідники показали, що баланс можна було підвищувати до ліміту в $655 за одну операцію та повторювати процедуру, фактично створюючи кошти на карті без легітимної транзакції. Це класичний приклад ризику офлайн‑носія цінності.
Координоване розкриття та виправлення: часові рамки і роль CERT
Перший контакт із KioSoft відбувся у жовтні 2023 року. Виробник відповів після залучення фахівців CERT і неодноразово просив про подовження дедлайнів розкриття. Компанія повідомила, що оновлену прошивку випущено влітку 2025 року і що планується апаратне оновлення з посиленими заходами безпеки.
Водночас KioSoft не оприлюднила номери вразливих та виправлених версій, пообіцявши адресні сповіщення клієнтам. Компанія наголосила, що більшість рішень не використовує MIFARE Classic. SEC Consult зазначила, що не має доступу до первинно досліджених терміналів і тому не змогла незалежно перевірити якість патчів.
Оцінка ризиків і практичні кроки для операторів самообслуговування
Самі по собі передплачені карти не є проблемою, але офлайн-зберігання балансу робить їх мішенню для атак і може спричинити прямі фінансові втрати та репутаційні ризики. Щоб зменшити площу атаки та підвищити стійкість, операторам і інтеграторам варто впровадити такі заходи:
- Міграція з MIFARE Classic на DESFire EV2/EV3 з AES, взаємною автентифікацією і режимом SL3.
- Серверна валідація балансу: зберігати рахунок у централізованій білінговій системі, використовуючи карту як токен доступу, а не носій цінності.
- Диверсифікація ключів на рівні картки/сектора, захист від відкоту даних (anti‑tearing), лічильники операцій та криптографічні підписи записів.
- Прив’язка до акаунтів, ліміти поповнень і поведінкова аналітика для виявлення аномалій (різкі стрибки, повторювані максимуми).
- Керування життєвим циклом: актуальні прошивки, інвентаризація парку обладнання, періодичні тести на проникнення за участі зовнішніх експертів.
Кейс KioSoft підкреслює, що відомі слабкі місця застарілих технологій зберігають експлуатаційну цінність роками. Організаціям варто вибудовувати процеси координованого розкриття з постачальниками, дотримуватися галузевих строків і забезпечувати оперативне розгортання виправлень. Якщо ви керуєте парком терміналів, розпочніть аудит застосованих карт і прошивок уже сьогодні, сплануйте міграцію на сучасні криптографічні стандарти та увімкніть серверну перевірку операцій і моніторинг аномалій — це мінімізує фінансові втрати і підвищить довіру користувачів.
