远程可利用漏洞影响30多万个甲骨文 POS 系统

本月初,甲骨文发布更新,修复了甲骨文 Micros POS 系统中一个可用于安装恶意软件的安全漏洞。不过数月之后该补丁才会部署在受影响系统中。

由于 POS 系统属于商业关键系统,系统管理员很少会安排维护和更新操作,因此他们担心不稳定的补丁可能会引发更多的宕机事件和经济损失。

 

漏洞可用于在易受攻击系统上安装恶意软件

ERPScan 安全公司的研究人员 Dmitry Chastuhin 发现了这个漏洞 CVE-2018-2636,他表示这个漏洞问题不容忽视。

Chastuhin 指出,漏洞能导致攻击者从 Micros POS 系统中收集配置文件。攻击者能利用这些被检索数据获得访问 POS 系统及附加服务(数据库、服务器)的完整合法权限。

在最常见的场景中,攻击者最可能会安装 POS 恶意软件以收集支付卡详情,不过攻击者还能够安装其它类型的恶意软件实施企业监控等。

 

可遭本地和远程攻击

该缺陷可通过构造特殊的 HTTP 请求方式遭远程利用。Shodan 搜索结果显示,网上约170台 POS 系统配置不当,如它们尚未应用补丁则很容易遭攻击。

甲骨文表示,超过30万家企业已选择部署 Micros POS 系统处理信用卡/储蓄卡支付,意味着多数系统无法经由互联网遭利用。

但这些系统也容易遭攻击。黑客能够攻陷商店内部网络中的其它系统并将这些系统用作攻击代码的中继点。

另外,攻击者一直能访问商店,找到开放的网络端口,分散商店员工的注意力并通过连接运行恶意利用代码的小型 Raspberry Pi 板的方式感染 POS 系统。

甲骨文在2018年1月发布的“关键补丁更新 (CPU)”中发布了缺陷补丁。2014年,甲骨文以53亿美元的价格收购 MICROS 系统公司。目前,甲骨文是市场上第三大 PoS 软件提供商。2016年,

Micros 网络曾遭攻击。

(完)