駭客隨便修改價格,1 美元就能買到 MacBook Pro?

作者 | 發布日期 2017 年 08 月 29 日 9:30 | 分類 網路 , 資訊安全 , 電腦 follow us in feedly

如果發現你辛苦存了幾個月的錢買的 MacBook Pro 居然花 1 美元就能買到,會是什麼感覺……1 美元大概等於 30.160 台幣,30 元就買得到 MacBook Pro 嗎?其實這是駭客在 SAP 伺服器上發現的漏洞所導致的惡意修改。



近日資安公司 ERPScan 的安全研究員發現一個 SAP POS Xpress Server 漏洞,這個漏洞允許攻擊者任意變更 SAP 銷售點系統的規格檔案和產品價格,還能收集消費者的信用卡資料。

ERPScan 方面表示,SAP POS 系統沒有任何身分驗證措施,這相當於開門給駭客,只要他們與 SAP POS Xpress Server 處於同一網路環境下,不需任何憑證就能進入系統修改關鍵功能。如果支付系統與 Internet 相連,駭客也可以遠端攻擊。

你以為不上網就安全了嗎?

NO!

即使 POS 系統採用氣隙網路(air-gap network),攻擊者只需要連線一個成本僅 25 美元的 Rasberry Pi,就可以自動執行惡意指令。

只需要幾秒鐘,駭客就能找到系統開放通訊埠執行惡意指令,修改產品價格並上傳新的 SAP POS Xpress Server 規格檔案,並重新啟動 POS 伺服器。

今年 4 月,ERPScan 已向 SAP 展示研究報告,SAP 方面也在 Security Note 2476601 和 SAP Security Note 2520064 修復。

這似乎只是冰山一角,SAP 的 POS 系統有約 80% 的全球 2,000 強零售商使用,這些系統都有修補過漏洞嗎?

(本文由 雷鋒網 授權轉載;首圖來源:shutterstock) 

關鍵字: , , ,