Critical Oracle Micros POS Flaw Affects Over 300,000 Payment Systems

Oracle ได้ปล่อยแพตช์การรักษาความปลอดภัยเพื่อแก้ไขปัญหาช่องโหว่ที่อาจเกิดจากการโจมตีจากระยะไกล ซึ่งส่งผลกระทบต่อเครื่อง MICROS point-of-sale (POS) ที่ถูกใช้แพร่หลายในอุตสาหกรรมด้านการบริการกว่า 300,000 ร้านค้าทั่วโลก โดยแพตช์ที่ปล่อยออกมาเป็นหนึ่งในแพตช์ Oracle เดือนมกราคม 2018 ซึ่งมีช่องโหว่ด้านความปลอดภัย 238 ช่องโหว่ในผลิตภัณฑ์ต่างๆ ของบริษัท

ช่องโหว่ (CVE-2018-2636) อาจทำให้ผู้โจมตีสามารถอ่านข้อมูลสำคัญ ไฟล์บันทึกการบริการและไฟล์ Configuration ได้จาก MICROS workstation ที่มีช่องโหว่ โดยไม่จำเป็นที่จะต้องมีการตรวจสอบสิทธิ์ใด ๆ นักวิจัยเตือนว่า ผู้บุกรุกสามารถขโมยชื่อผู้ใช้และรหัสผ่านของฐานข้อมูลและเข้าถึงฐานข้อมูลทั้งหมดได้ นอกจากนี้ ERPScan ซึ่งเป็นผู้คนพบ ยังได้ทำการพิสูจน์การใช้ประโยชน์จาก Python ซึ่งถ้ารันบนเซิร์ฟเวอร์ MICROS ที่มีช่องโหว่ จะสามารถรันคำสั่งที่เป็นอันตรายเพื่อดึงไฟล์ข้อมูลสำคัญได้

แพทช์ Oracle ในเดือนมกราคมปีพ. ศ. 2561 ยังมีการแก้ไขปัญหาช่องโหว่ของโปรเซสเซอร์ Spectre และ Meltdown ที่มีผลต่อผลิตภัณฑ์ Oracle บางตัวอีกด้วย

ที่มา : thehackernews