SAP POS-Server manipulierbar

Von SAP gibt es einen POS-Lösung (Verkaufsterminals und ein Server), die von Hackern manipulierbar ist. So können Hacker den Preis einer Ware über den POS-Server manipulieren.


Anzeige

Die Lösung von SAP besteht aus Kassenterminals (POS, point of sale-System) und einem SAP POS Xpress Server. Bei jedem Kauf wird beim Bezahlvorgang an der Kasse der POS Xpress Server kontaktiert. Dieser ermittelt den Preis für das gescannte Produkt, übernimmt die Zahlungsdaten, falls mit Karte bezahlt wird und übermittelt diese an die Bank. Laut der Sicherheitsfirma ERPScan wird die SAP POS-Lösung in den USA in gut 80% der Händler aus den Forbes Global 2000 verwendet.

Die Sicherheitslücke im SAP POS Xpress Server ist darin begründet, dass der Server keine Authentifizierung vornimmt. Sind die Kassensysteme per WLAN an den Server angebunden, könnten Angreifer auf gleichem Wege in das System eindringen und Daten im SAP POS Xpress Server abrufen (z.B. Kartendaten) und auch manipulieren (z.B. Preis reduzieren).

Entdeckt wurde das Ganze von Sicherheitsforschern der Firma ERPScan. Diese haben das Problem im April 2017 an SAP gemeldet. SAP hat die Lücken gefixt (siehe SAP Security Note 2476601 und SAP Security Note 2520064. Weitere Details finden sich in diesem Bleeping Computer-Artikel. Keine Ahnung, ob dieses System auch in Deutschland Verwendung findet.


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.