据外媒报道,甲骨文 Micros 的 POS 系统(Point-of-Sale System)存在高风险的安全漏洞,黑客可以在入侵后,下载公司的全部业务数据。
甲骨文在本月早些时候发布了这个问题的更新,但是修复问题的补丁需要几个月的时间才能更新到受影响的 POS 系统上。这是因为 POS 系统是关键业务系统,系统管理员很少安排维护和更新操作,担心一个不稳定的补丁可能会给公司带来进一步的停机和财务损失。
这一漏洞是由来自 ERPScan 公司的安全研究员 Dmitry Chastuhin 发现的,它允许攻击者不经身份验证就可对 POS 系统的数据进行读取和访问。
Chastuhin 表示,这个漏洞允许攻击者从 Micros POS 系统收集配置文件,获取用户名和密码,然后可以使用获取到的数据授予攻击者对 POS 系统和附加服务(数据库和服务器)的完全合法访问权限。
据评估,该漏洞的严重程度为 8.1 分(满分 10 分)。
在最常见的情况是,攻击者很可能会安装 POS 恶意软件来收集支付卡的详细信息,但攻击者也可能会为企业间谍和代理终端安装其他类型的恶意软件,以备将来的攻击等。
研究人员表示,这些漏洞可以被那些有机会接受易受攻击的微型 POS 终端设备的人利用,比如公司员工。另外,在不确定某设备是否可以被利用的情况下,攻击者可以通过扫描网络寻找易受攻击设备。如果商店周围的设备和机器均通过以太网连接,攻击就会变得很容易。
而甲骨文表示,目前有超过 30 万家公司选择部署 Micros POS 系统来处理信用卡/借记卡支付。
针对此漏洞的修复程序已于 2018 年 1 月的 Oracle 重要补丁更新(CPU)中提供。2014 年,Oracle 以 53 亿美元收购了 MICROS systems.html" target="_blank">Systems, Inc,在收购时,在 180 个国家中的超过 33 万家餐馆、商店和酒店在使用 Micros 提供的服务。目前,Oracle 是市场上第三大 PoS 软件供应商。
参考:Bleeping Computer
相关文章
