Bug en puntos de venta de sistemas oracle
Los hackers tienen un nuevo fallo de seguridad en su arsenal que pueden explotar para instalar software malicioso en los sistemas POS punto de venta de Oracle.
Oracle publicó versiones de este tema a principios de enero, pero tardara meses hasta que la revisión en sistemas de punto de venta se vean afectadas.La razón es que los sistemas de punto de venta son sistemas críticos de negocio, administradores de sistemas y rara vez se programan las operaciones de mantenimiento y actualización, por temor a que un parche inestable podría causar aún más el tiempo de inactividad y las pérdidas financieras a sus empresas.
Un error permite a los atacantes instalar malware en los sistemas vulnerablesDmitry Chastuhin el investigador de seguridad ERPScan que descubrió el problema (que se registra como CVE-2018-2636).
Chastuhin dice que la vulnerabilidad permite a un atacante para recoger los archivos de configuración de los sistemas de punto de venta Micros. Los datos recuperados se pueden utilizar para conceder los atacantes el acceso pleno y legítimo al sistema de punto de venta y servicios adjuntos (base de datos, servidor).
En el escenario más común, el atacante tendría más probabilidades de instalar malware POS para recoger datos de su tarjeta de pago, pero un atacante podría instalar otros tipos de malware de espionaje y de proxy puntos finales corporativos para futuros ataques, o más.
Un error puede ser explotado de forma remota o desde la red local
La falla puede ser explotada de forma remota a través de peticiones HTTP cuidadosamente elaborados. Una búsqueda Shodan muestra que alrededor de 170 almas pobres han configurado correctamente sus sistemas de punto de venta, que ahora están disponibles en línea y se podrían explotar si no se han actualizado con los parches de Oracle.
Oracle dice que más de 300.000 empresas han optado por implementar sistemas de punto de venta Micros para manejar los pagos con tarjeta de crédito / débito. Esto significa que la mayoría de los sistemas no son explotables a través de Internet.
Sin embargo, estos sistemas también son vulnerables. Los hackers pueden comprometer otros sistemas de la red interna de la tienda, y utilizarlos como puntos de relevo para el código de ataque.
Además, un atacante siempre se puede visitar la tienda, identificar un puerto de conexión en red abierta, distraer al personal de la tienda, e infectar el sistema de punto de venta mediante la conexión de una pequeña placa de Frambuesa Pi que ejecuta el código malicioso explotar.
Se pusieron a disposición parches para este defecto en Actualización Crítica de Oracle (CPU) para enero de 2018 . Oracle compró MICROS Systems, Inc. en 2014 por $ 5.3 mil millones. Actualmente, Oracle es el tercer mayor proveedor de software de la posición en el mercado.
La compañía sufrió una brecha en la seguridad de su red de Micros en 2016.