甲骨文MICROS系统再曝漏洞 POS终端网络安全谁买单？

“用指尖改变世界”

关于POS终端的安全问题并不是什么新鲜事!在最近的几年里，有许多针对POS终端的黑客攻击活动或者安全漏洞问题被报道。

考虑到此类设备与个人信息、购物订单、支付卡细节等敏感信息有关，它频繁成为黑客的攻击目标也显得并不奇怪。而我们之所以在这里要提到这个问题的原因是，甲骨文(Oracle)的MICROS系统在2016年才遭到了黑客的破坏，而现在它又被发现存在一个严重的安全问题。

来自ERPScan安全团队的安全研究员Dmitry Chastuhin发现，甲骨文MICROS系统存在一个目录遍历漏洞。漏洞被标识为CVE-2018-2636，CVSS v3分数8.1。攻击者可以利用漏洞绕过MICROS工作站的验证机制，从而能够访问任意文件并接货各种服务信息。

Chastuhin指出，一旦攻击者能够访问了易受攻击的POS终端，便可以从MICROS工作站盗取大量文件，包括服务日志，并读取包含用户名和加密密码的文件(如SimphonyInstall.xml或Dbconfix.xml)以连接到DB、ServiceHost等。

由此，攻击者可以抓取数据库用户名和密码哈希值，暴力破解并获得所有业务数据的完全访问权限，进而导致整个MICROS系统被控制。

也许你会认为获取对POS终端的访问并不容易?那么我们需要提醒你的是，黑客可以利用连接到RJ45接口的电子秤或其他设备，连接到Raspberry PI树莓派单板机，并扫描内部网络。如此操作，他们就能够轻松地发现并控制那些使用MICROS系统且易受攻击的POS终端。

此外，黑客还可以使用互联网上的某些搜索引擎来查找那些在线暴露的POS终端，比如说Shodan。Chastuhin在使用Shodan进行搜索时，至少发现了170个 POS终端在线暴露。

一些现实发生的案例也时刻在提醒着我们，将审查POS终端的安全性作为日常工作很有必要。在去年11月份，美国广受欢迎的服装零售商Forever 21就因POS终端系统存在安全漏洞而遭受了黑客攻击，导致大量消费者支付卡数据泄露，而到目前为止，Forever 21也没有公布具体的受害者数量。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。