甲骨文MICROS系统再曝漏洞 POS终端网络安全谁买单?

“用指尖改变世界”

关于POS终端的安全问题并不是什么新鲜事!在最近的几年里,有许多针对POS终端的黑客攻击活动或者安全漏洞问题被报道。

考虑到此类设备与个人信息、购物订单、支付卡细节等敏感信息有关,它频繁成为黑客的攻击目标也显得并不奇怪。而我们之所以在这里要提到这个问题的原因是,甲骨文(Oracle)的MICROS系统在2016年才遭到了黑客的破坏,而现在它又被发现存在一个严重的安全问题。

来自ERPScan安全团队的安全研究员Dmitry Chastuhin发现,甲骨文MICROS系统存在一个目录遍历漏洞。漏洞被标识为CVE-2018-2636,CVSS v3分数8.1。攻击者可以利用漏洞绕过MICROS工作站的验证机制,从而能够访问任意文件并接货各种服务信息。

Chastuhin指出,一旦攻击者能够访问了易受攻击的POS终端,便可以从MICROS工作站盗取大量文件,包括服务日志,并读取包含用户名和加密密码的文件(如SimphonyInstall.xml或Dbconfix.xml)以连接到DB、ServiceHost等

由此,攻击者可以抓取数据库用户名和密码哈希值,暴力破解并获得所有业务数据的完全访问权限,进而导致整个MICROS系统被控制

也许你会认为获取对POS终端的访问并不容易?那么我们需要提醒你的是,黑客可以利用连接到RJ45接口的电子秤或其他设备,连接到Raspberry PI树莓派单板机,并扫描内部网络。如此操作,他们就能够轻松地发现并控制那些使用MICROS系统且易受攻击的POS终端。

此外,黑客还可以使用互联网上的某些搜索引擎来查找那些在线暴露的POS终端,比如说Shodan。Chastuhin在使用Shodan进行搜索时,至少发现了170个 POS终端在线暴露。

一些现实发生的案例也时刻在提醒着我们,将审查POS终端的安全性作为日常工作很有必要。在去年11月份,美国广受欢迎的服装零售商Forever 21就因POS终端系统存在安全漏洞而遭受了黑客攻击,导致大量消费者支付卡数据泄露,而到目前为止,Forever 21也没有公布具体的受害者数量。

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180201B08T4100?refer=cp_1026

扫码关注云+社区