Sicherheitslücke in Oracle MICROS-Zahlungsterminals

In den Micros-Zahlungsterminals (POS) von Oracle gibt es eine kritische Sicherheitslücke, die remote ausgenutzt werden kann. Betreiber sollten ein Update installieren.


Anzeige

Keine Ahnung, ob und wie häufig Oracle MICROS-POS-Systeme (Zahlungsterminals) bei meinen Blog-Leser/innen eingesetzt werden. Laut dieser Oracle-Seite sollte die POS-Terminals im Gastronomiebereich verwendet werden.

Kassensysteme im Fokus von Cyberkriminellen

Sicherheitsprobleme von Kassensystemen sind nicht neu und werden in den Medien immer mal wieder berichtet. Wenn man bedenkt, dass diese Geräte mit persönlichen Informationen, Bestellungen und Kreditkartendetails umgehen, verwundert es nicht, dass diese in den Fokus von Hackern gerät. Bereits im Jahr 2016 wurde Oracle MICROS System gehackt.

Die Sicherheitsspezialisten von ERPscan befasst sich mit der Sicherheit von Geschäftsanwendungen sowie für kritischen Systemen, die anfällig für Betrug sind. Ziel ist es, Schwachstellen zu identifizieren, bevor Hacker diese ausnutzen. Im September 2017 fand ein Sicherheitsforscher Dmitry Chastuhin (aka @_chipik) des ERPscan-Sicherheitsteam eine Oracle MICROS POS-Schwachstelle (CVE-2018-2636). Diese wurde von Oracle im Januar 2018 behoben. ERPscan hat dies in diesem Pressedokument öffentlich gemacht.

Oracle CPU stuft die Schwachstelle CVE-2018-2636 mit dem Wert 8,1 (von 10) ein. Das bedeutet, dass die Sicherheitslücke dringend per Update geschlossen werden sollte. Denn ein Angreifer ist in der Lage, jede Datei zu lesen und Informationen über verschiedene Dienste ohne Authentifizierung von einem anfälligen MICROS-Kassensystem (Workstation) zu erhalten.

Die Schwachstelle CVE-2018-2636 betrifft eine Reihe von MICROS Kassensystemen, die mit dem Internet verbunden sind. Die Schwachstelle in Oracle MICROS EGateway Application Service ermöglicht einen Zugriff auf das Verzeichnis der MICROS-Workstation. Falls ein Angreifer Zugriff auf die anfällige URL hat, kann er oder sie zahlreiche Dateien von der MICROS-Workstation stehlen. Die betrifft auch Dienstprotokolle und Lesedateien wie SimphonyInstall.xml oder Dbconfix.xml, die Benutzernamen und verschlüsselte Passwörter enthalten, um sich mit der DB zu verbinden, Informationen über ServiceHost zu erhalten, etc.

Auf diesem Weg kann der Angreifer DB-Benutzernamen und Passwort-Hashes abgreifen und erhält vollen Zugriff auf die Datenbank mit allen Geschäftsdaten. Es gibt mehrere Angriffsmöglichkeiten, um das gesamte MICROS-System zu kompromittieren. Sucht man im Internet über Shodan nach einer bestimmten URL, werden mindestens 170 System angezeigt, die online zugreifbar sind. Administratoren sollten den von Oracle im Januar 2018 bereitgestellten Patch installieren.

Anmerkung: Ich hatte die Patch-Übersicht von Oracle bereits beim erstellen des Beitrags Java SE Version 8 Update 161 freigegeben gesehen, konnte das Thema aber nicht zuordnen. Erst durch diesen Beitrag fielen die Puzzleteile ins Bild.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.