Mục lục bài viết || Contents of the article

    Oracle đã phát hành bản cập nhật bản vá bảo mật để khắc phục một lỗ hổng dễ bị khai thác từ xa có ảnh hưởng đến các giải pháp kinh doanh bán lẻ MICROS điểm bán hàng cho ngành khách sạn.

    lỗ hổng

    Bản sửa lỗi đã được phát hành như là một phần bản cập nhật vào tháng 1 năm 2018 của Oracle nhằm vá tổng số 238 lỗ hổng bảo mật trong các sản phẩm khác nhau của nó.

    Theo công bố công khai của ERPScan – công ty an ninh mạng đã phát hiện ra lỗi và báo về cho công ty. Dịch vụ Ứng dụng EGroway của MICROS của Oracle đã được triển khai bởi hơn 300.000 nhà bán lẻ nhỏ và doanh nghiệp trên toàn thế giới, với lỗ hổng này thì rất dễ bị tấn công vào thư mục.

    XEM THÊM: 5 Công cụ kiểm thử phần mềm hiệu quả

    Nếu bị khai thác, lỗ hổng ( CVE-2018-2636 ) có thể cho phép kẻ tấn công đọc các dữ liệu nhạy cảm và nhận thông tin về các dịch vụ khác nhau từ các máy trạm MICROS dễ bị tổn thương mà không có chứng thực. Sử dụng lỗ hổng xuyên qua thư mục, một nội gián trái phép có quyền truy cập vào ứng dụng dễ bị tổn thương có thể đọc các tập tin nhạy cảm từ máy trạm MICROS, bao gồm các bản ghi dịch vụ và các tệp cấu hình. Theo các nhà nghiên cứu giải thích, hai tệp tin nhạy cảm này được lưu trữ trong bộ nhớ ứng dụng-SimphonyInstall.xml hoặc Dbconfix.xml- chứa tên người dùng và mật khẩu được mã hóa để kết nối với cơ sở dữ liệu.

    Các nhà nghiên cứu cảnh báo: “kẻ tấn công có thể lấy tên người dùng và mật khẩu, bẻ khóa chúng và truy cập vào DB với tất cả dữ liệu kinh doanh. Có một số cách khai thác nó, dẫn đến sự thỏa hiệp toàn bộ hệ thống MICROS”.

    “Nếu bạn tin rằng việc truy cập vào POS URL là một snap, hãy nhớ rằng các hacker có thể tìm thấy quy mô kỹ thuật số hoặc các thiết bị khác sử dụng RJ45, kết nối nó với Raspberry PI, và quét mạng nội bộ. Hãy ghi nhớ những điều này khi bạn đăng nhập vào hệ thống. “

    ERPScan cũng đã phát hành một proof-of-concept Python dựa trên khai thác, trong đó, nếu thực hiện trên một máy chủ MICROS dễ bị tổn thương, sẽ gửi một yêu cầu độc hại để có được nội dung của tập tin nhạy cảm trong phản ứng.

    Bên cạnh đó, cập nhật bản vá tháng 1 năm 2018 của Oracle cũng cung cấp các bản vá lỗi cho lỗ hổng bộ vi xử lý Spectre và Meltdown Intel ảnh hưởng đến một số sản phẩm của Oracle.

    Để vá lỗ hổng  Lỗ hổng CVE -2018-5124 XEM NGAY bài viết dưới đây.

    Nguồn: Thehackernews

     

    Bài viết liên quan || Related posts

    Bài viết đề xuất || Recommended
    Vì sao website Việt Nam dễ bị tin tặc xâm nhập? Vì sao website Việt Nam dễ bị tin tặc xâm nhập?
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...
    Tính năng sản phẩm | 23/03/2021

    Địa chỉ: || Address: Tầng 9, số 459 Đội Cấn, Ba Đình, Hà Nội || Floor 9, No. 459 Doi Can, Ba Dinh, Hanoi

    Điện thoại: || Phone number: 092 711 8899

    Email: [email protected]

    Thông tin tuyển dụng || Recruitment

    Điều khoản sử dụng || Terms of Use