Lỗ hổng Oracle trên Micros POS ảnh hưởng nghiêm trọng đến hơn 300.000 hệ thống thanh toán

Oracle đã phát hành bản cập nhật vá lỗi bảo mật để khắc phục một lỗ hổng nghiêm trọng dễ bị khai thác từ xa có thể ảnh hưởng đến các giải pháp kinh doanh qua máy POS Micros trong ngành khách sạn.

Bản sửa lỗi được phát hành như một phần của bản cập nhật Oracle tháng 1-2018 nhắm vá tổng cộng 238 lỗ hổng bảo mật có trong các sản phẩm khác nhau của hãng.

Theo công bố công khai từ ERPScan, công ty bảo mật đã phát hiện và báo cáo vấn đề này cho công ty, Dịch vụ ứng dụng MICROS EGateway của Oracle, được triển khai bởi 300.000 nhà bán lẻ nhỏ và doanh nghiệp trên toàn thế giới, dễ bị tấn công vào thư mục.

Nếu bị khai thác, lỗ hổng CVE-2018-2636) có thể cho phép kẻ tấn công đọc được các dữ liệu nhạy cảm và nhận thông tin về các dịch vụ khác nhau từ các máy trạm MICROS dễ bị tổn thương mà không cần chứng thực. Sử dụng lỗ hổng xuyên qua thư mục, một nội gián trái phép sẽ có quyền truy cập các ứng dụng dễ bị tổn thương và đọc các dữ liệu nhạy cảm từ máy trạm MICROS, bao gồm các ghi chú dịch vụ và các tệp tin cấu hình.

Theo giải thích của các nhà nghiên cứu, hai tập tin nhạy cảm này được lưu trự trong bộ nhớ ứng dụng SimphonyInstall.xml hoặc Dbconfix.xml có chứa tên người dùng, mật khẩu mã hóa để kết nối với cơ sở dữ liệu.

Các nhà nghiên cứu cảnh báo rằng, kẻ tấn công có thể lấy tên người dùng DB và mật khẩu để bẻ khóa chúng và chiếm toàn quyền quản trị với tất cả các dữ liệu kinh doanh. Có nhiều cách để khai thác, dẫn đến việc ảnh hưởng toàn bộ hệ thống MICROS.

ERPS cũng phát hành một số bằng chứng khai thác dựa trên Python, nếu thực thi trên một mạng lưới MICROS dễ bị tổn thương, có thể gửi những lệnh độc hại để đánh cắp nội dung các tập tin nhạy cảm.

Bên cạnh đó, phiên bản cập nhật tháng 1-2018 cũng cung cấp bản sửa lỗi Spectre và Meltdown trên con chip Intel ảnh hưởng các sản phẩm của Oracle.

Xuân Dung