La faille critique d’Oracle Micros POS affecte plus de 300 000 systèmes de paiement

Oracle a publié une mise à jour de correctif de sécurité pour résoudre une vulnérabilité critique exploitable à distance qui affecte ses solutions d’affaires point de vente (POS) MICROS pour l’industrie hôtelière.

Le correctif a été publié dans le cadre de la mise à jour de janvier 2018 d’Oracle qui corrige un total de 238 failles de sécurité dans ses divers produits.
Selon publique la divulgation par ERPScan, la firme de sécurité qui a découvert et signalé ce problème à la société, MICROS EGateway Application Service d’Oracle, déployée par plus de 300 000 petits détaillants et les entreprises dans le monde entier, est vulnérable à une attaque de répertoire traversal.
Si elle est exploitée, la vulnérabilité ( CVE-2018-2636 ) pourrait permettre aux pirates de lire des données sensibles et de recevoir des informations sur divers services provenant de stations de travail MICROS vulnérables sans aucune authentification.
À l’aide de la faille de traversée de répertoire, un initié non autorisé ayant accès à l’application vulnérable pouvait lire les fichiers sensibles à partir du poste de travail MICROS, y compris les journaux de maintenance et les fichiers de configuration.
Comme expliqué par les chercheurs, deux tels fichiers sensibles stockés dans le stockage de l’application-SimphonyInstall.xml ou Dbconfix.xml-contiennent des noms d’utilisateur et des mots de passe cryptés pour se connecter à la base de données.
"Ainsi, l’attaquant peut arracher les noms d’utilisateur et les hachages de mots de passe, les écraser et obtenir un accès complet à la base de données avec toutes les données de l’entreprise, ce qui peut compromettre le système MICROS".
"Si vous pensez que l’accès aux URL de point de vente est un jeu d’enfant, sachez que les pirates informatiques peuvent trouver des balances numériques ou d’autres appareils utilisant RJ45, le connecter à Raspberry PI et scanner le réseau interne. Rappelez-vous ce fait lorsque vous entrez dans un magasin. "
ERPScan a également publié un exploit basé sur Python de validation de concept , qui, s’il était exécuté sur un serveur MICROS vulnérable, enverrait une requête malveillante pour obtenir le contenu de fichiers sensibles en réponse.
En outre, la mise à jour de correctif de janvier 2018 d’Oracle fournit également des correctifs pour les vulnérabilités des processeurs Intel Spectre et Meltdown affectant certains produits Oracle.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 23 |

Actu en image