Los expertos en seguridad de ERPScan descubrieron un nuevo fallo de seguridad en las terminales Oracle MICROS PoS que podría ser explotado por un atacante para leer datos confidenciales de los dispositivos

Los expertos en seguridad de ERPScan descubrieron un nuevo fallo de seguridad en las terminales Oracle MICROS PoS que podría ser explotado por un atacante para leer datos confidenciales de los dispositivos

Los expertos en seguridad de ERPScan descubrieron una nueva vulnerabilidad de recorrido de directorio en los terminales de punto de venta MICROS de Oracle, rastreada como CVE-2018-2636, que podría ser explotada por un atacante para leer datos confidenciales de dispositivos sin autenticación desde una estación de trabajo vulnerable.

"CVE-2018-2636 indica una vulnerabilidad de cruce de directorio en Oracle MICROS EGateway Application Service. En caso de que un interno tenga acceso a la URL vulnerable, puede robar numerosos archivos de la estación de trabajo MICROS, incluidos los registros de servicios y leer archivos como SimphonyInstall.xml o Dbconfix.xml que contienen nombres de usuario y contraseñas encriptadas para conectarse a la DB, obtener información acerca de ServiceHost, etc.

"Por lo tanto, el atacante puede arrebatar los nombres de usuario de DB y los hashes de contraseñas, ponerlos en bruto y obtener acceso completo al DB con todos los datos comerciales. Hay varias formas de su explotación, lo que lleva a todo el compromiso del sistema MICROS ".

MICROS de Oracle tiene más de 330,000 cajas registradoras en todo el mundo, es ampliamente adoptado en tiendas de alimentos y bebidas (200,000+) y hoteles (30,000).

Los investigadores explicaron que podría ser fácil para un atacante local acceder a una URL de MICRO POS, por ejemplo, puede encontrar escalas digitales u otros dispositivos que usan RJ45 en la toma y conectarlo a Raspberry PI, luego escanear la red interna. Otra opción es ubicar ese tipo de dispositivos expuestos en Internet; en el momento de redactar este informe, hay 139 sistemas MICROS POS expuestos en línea, la mayoría ubicados en los EE. UU. Y Canadá.

Micro-Vulnerbale-workstation

Esta no es la primera vez que se toca la seguridad MICROS. En 2016, hubo un incidente donde los hackers atacaron MICROS a través del Portal de soporte al cliente.

La vulnerabilidad recibió el puntaje de 8.1 CVSS v3.

"Si desea proteger su sistema de ataques cibernéticos, debe implementar persistentemente todos los parches de seguridad provistos por su proveedor. En nuestro caso, consulte Oracle CPU enero de 2018.

Esta no es la primera vez que abordamos la seguridad de los sistemas PoS de Oracle MICROS. En agosto de 2016, los sistemas de la división de terminales de pago Oracle MICROS se infectaron con un malware.

Read more