นักวิจัยด้านความปลอดภัยจาก ERPScan พบช่องโหว่ใน SAP POS Xpress Server ช่วยให้ผู้โจมตีสามารถแก้ไขไฟล์ configuration บนระบบ SAP-Point Sale, เปลี่ยนแปลงราคาสินค้า, รวบรวมข้อมูลบัตรชำระเงินและส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยได้มีการรายงานช่องโหว่ดังกล่าวไปยัง SAP แล้วในเดือนเมษายนปี พ.ศ. 2560

ช่องโหว่ดังกล่าวเกิดจาก SAP POS Xpress Server ไม่มีการตรวจสอบสิทธิ์ในการเข้าถึงระบบ ซึ่งหมายความผู้โจมตีสามารถแก้ไขข้อมูลสำคัญโดยไม่ต้องมีการยื่นยันตัวตนใดๆ โดยผู้โจมตีสามารถปรับเปลี่ยนราคาสินค้า, วิธีการชำระเงิน หรือแม้กระทั้งติดตั้ง sniffers ข้อมูลบัตรชำระเงิน

นักวิจัยกล่าวว่าผู้โจมตีจะต้องอยู่ในร้านและเชื่อมต่ออุปกรณ์พิเศษที่รันคำสั่งที่เป็นอันตรายทั้งหมดโดยอัตโนมัติ ซึ่งคืออุปกรณ์ Rasberry Pi board โดยมีค่าใช้จ่ายประมาณ 25 เหรียญ ซึ่งนักวิจัย ERPScan ได้ทดลองใช้ช่องโหว่ที่ค้นพบเพื่อปรับราคาของ Macbook Pro ที่มีราคาสูงมากให้เหลือเพียง 1 เหรียญ

ผูัเชี่ยวชาญยังเตือนว่าช่องโหว่ดังกล่าวสามารถทำให้ระบบ SAP POS ไม่สามารถใช้งานได้ และทำให้เกิดความเสียหายทางการเงินอย่างร้ายแรงต่อผู้ค้าปลีกที่ไม่ได้ติดตั้งแพทช์รักษาความปลอดภัยของ SAP โดยช่องโหว่ใน SAP Point of Sale (POS) Retail Xpress Server ได้รับการแก้ไขและแพทช์รักษาความปลอดภัย โดยสามารถดาวน์โหลดได้จาก SAP Support Portal

ที่มา : BLEEPINGCOMPUTER