Noll
(Bild: en fil foto)
En hög-risk-säkerhet bugg i Oracles Micros point-of-sale-system skulle kunna tas tillvara för att kompromissa och ladda ner företagets hela verksamhet uppgifter.
Den sårbarhet, som upptäcktes av ERPScan säkerhet forskare Dmitry Chastuhin, gör det möjligt för en oautentiserad angripare att få läsa och skriva tillgång till point-of-sale-serverns databas.
ERPScan, som har ett kommersiellt intresse i rymden, sade i ett blogginlägg att en angripare med tillgång till en sårbar enhet som kan läsa lokala filer för att få användarnamn och lösenord för att få full tillgång till databasen.
Felet är klassificerat som ett 8.1 av 10 för dess svårighetsgrad.
Forskarna säger att sårbarheten kan utnyttjas av dem som har tillgång till en sårbar Micros point-of-sale-enhet, till exempel en anställd.
Att inte veta om en enhet kan utnyttjas, en semi-adept angripare skulle kunna genomsöka nätverket för utsatta enheter. Det kan inte vara så svårt när olika enheter och maskiner runt om i butiken finns också ethernet-anslutna, vilket gör en plug and play-stil attack lättare än andra.
(Vi har också nått ut till ERPScan för mer information. Vi kommer att uppdatera när vi hör av sig igen.)
Oracle sa att det fixade felet tidigare denna månad som en del av sin kvartalsvisa lapp schema, vilket föranledde ERPScan att publicera proof-of-concept kod för felet.
Oracle sade komplexiteten av attacken var “hög”, men enades om att sårbarheten var i den övre delen av den skala allvarlighetsgrad.
Point-of-sale-enheter är väldigt sårbara för attacker. Samma forskning om säkerhet i företaget, som har specialiserat sig på point-of-sale enheten säkerhet, upptäckt ett sätt att lura en terminal till att acceptera något pris-med en enda dollar-för premium-produkter, som datorer och telefoner.
Tidigare i år, Forever 21 bekräftat sitt betal-terminaler hade skadlig kod installerad i mer än sex månader, lägger tusentals kunder på risken för bedrägerier med kreditkort.
Oracle inte svara på en begäran om kommentar.
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Läs Mer
ZDNET UTREDNINGAR
NSA: s Ragtime-programmet mål Amerikaner, läckt ut filer visa
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Vid den AMERIKANSKA gränsen: Diskriminerade, fängslade, sökte, förhördes
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
FCC: s ordförande röstade för att sälja din webbhistorik — så vi bad att få se hans
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0