Bản vá lỗ hổng được phát hành như là một phần của bản cập nhật vào tháng 1/2018 của Oracle nhằm vá lỗi cho tổng cộng 238 lỗ hổng bảo mật trong các sản phẩm khác nhau.
Theo công bố công khai của Công ty an ninh ERPScan, công ty đã phát hiện và báo cáo vấn đề này, dịch vụ ứng dụng EGroway của MICROS (Oracle) được triển khai bởi hơn 300.000 nhà bán lẻ và kinh doanh trên toàn thế giới dễ bị tấn công vào thư mục.
Nếu bị khai thác, lỗ hổng (CVE-2018-2636) có thể cho phép kẻ tấn công đọc các dữ liệu nhạy cảm và nhận thông tin về các dịch vụ khác nhau từ các máy trạm MICROS dễ bị tổn thương mà không có chứng thực.
Sử dụng lỗ hổng xuyên qua thư mục, một nội gián trái phép có quyền truy cập vào ứng dụng dễ bị tổn thương có thể đọc các tập tin nhạy cảm từ máy trạm MICROS, bao gồm các bản ghi dịch vụ và các tệp cấu hình.
Theo các nhà nghiên cứu giải thích, hai tệp tin nhạy cảm này được lưu trữ trong bộ nhớ ứng dụng - SimphonyInstall.xml, hoặc Dbconfix.xml- chứa tên người dùng và mật khẩu được mã hóa để kết nối với cơ sở dữ liệu.
Các nhà nghiên cứu cảnh báo: kẻ tấn công có thể lấy tên người dùng DB và mật khẩu, bẻ khóa và truy cập vào DB với tất cả dữ liệu kinh doanh. Có một số cách khai thác nó, dẫn đến sự thỏa hiệp toàn bộ hệ thống MICROS.
Nếu ngư iệp to tin rằng việc truy cập vào POS URL là một ktin rằnsnap, các tin t cácó thể tìm thấy quy mô kỹ thuật số hoặc các thiết bị khác sử dụng RJ45, kết nối nó với Raspberry PI và quét mạng nội bộ.
Công ty an ninh ERPScan cũng đã phát hành một PoC khai thác dựa trên Python, nếu thực hiện trên một máy chủ MICROS có l thác , sẽ gửi một yêu cầu độc hại để có được nội dung của các tập tin nhạy cảm để đáp ứng.
Ngoài ra, bản cập nhật tháng 1/2018 của Oracle cũng cung cấp các bản vá cho lỗ hổng bộ vi xử lý Spectre và Meltdown Intel ảnh hưởng đến các sản phẩm Oracle.
Minh Thư
Theo The Hacker News
09:00 | 01/04/2019
14:00 | 03/07/2020
15:00 | 21/07/2020
10:00 | 26/04/2024
10:00 | 20/02/2025
Trong chưa đầy 2 tháng, đã có hơn 2.600 trang web giả mạo DeepSeek được tạo ra. Các trang web này mạo danh để thu phí, bán cổ phiếu, phát hành tiền mã hóa không có thật.
08:00 | 19/02/2025
OpenAI đang hoàn thiện thiết kế cho con chip nội bộ đầu tiên của mình trong vài tháng tới và có kế hoạch gửi nó đi chế tạo tại Taiwan Semiconductor Manufacturing Co (TSMC) trên tiến trình 3 nm trong năm nay.
10:00 | 24/12/2024
Nguồn tin của Wall Street Journal cho biết, chính quyền của Tổng thống đắc cử Donald Trump có thể ban hành lệnh cấm bán thiết bị TP-Link tại Mỹ ngay trong năm 2025.
12:00 | 23/12/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) vừa cảnh báo về hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Windows Kernel và Adobe ColdFusion, với mã định danh là CVE-2024-35250 và CVE-2024-20767.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Vào ngày 16/3, Baidu, ông lớn công nghệ Trung Quốc, giới thiệu 2 mô hình AI mới, trong đó có một mô hình tập trung vào suy luận mà công ty khẳng định có thể cạnh tranh trực tiếp với DeepSeek. Như vậy, Baidu chính thức tham chiến trong cuộc đua AI với mô hình suy luận mới và chatbot miễn phí khi cuộc cạnh tranh trong lĩnh vực này ngày càng khốc liệt.
14:00 | 24/03/2025
