Oracle再次被曝漏洞，影響33萬用戶

來自ERPScan公司的安全專家們發現了這個編號為CVE-2018-2636的漏洞。這個漏洞來自Oracle MICROS系統內的銷售點（Point-of-Sale）終端，可能被利用來從硬體內無需驗證地讀取敏感資料。

ERPScan發布的漏洞分析內這樣寫道：「CVE2018-2636標記了一個Oracle MICROS系統內的文件夾遍歷時暴露出的漏洞。如果公司內部有人得到了某個關鍵文件夾的路徑，他就能從一台終端中偷取許多關鍵的資料，包括服務日誌以及一些包含著用戶名和密碼的信息，甚至可以使用這些密碼去連接資料庫，獲得更多關於伺服器端之類的信息。」

「攻擊者們能夠獲得資料庫用戶名以及哈希過後的密碼，將密碼暴力破解然後獲得資料庫內部商業資料的所有許可權。而且還有許多不同的利用這個漏洞的攻擊方式，導致整個MICROS系統處在危險之中。」

Oracle的MICROS系統在世界範圍內擁有超過330000的現金註冊用戶，涵蓋了許多食物賣場（200000+）以及酒店（30000）。

研究者還解釋道，對一個本地攻擊者來說要獲取到MICROS銷售點終端的URL路徑是很簡單的。

例如，他可以找到一個商場的電子秤或者其他使用RJ45點硬體，將其連接到Raspberry PI（樹莓派），然後掃描整個內部網路。另一個選項是可以通過這些暴露在網際網路上的設備來定位。截止本稿完成之時，共有139個MICROS銷售點系統暴露在網際網路上，其中大多數位於美國及加拿大。

這並不是MICROS首次遭到質疑，2016年時就曾經有黑客通過客戶售後支持中心入侵MICROS系統。

分析報告最後總結道：「如果你想保護你的系統免受網路攻擊的危害，你必須持續地保持更新，安裝所有安全補丁。在這個案例中，特指Oracle在2018年1月的更新。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！