Bản vá lỗ hổng được phát hành như là một phần của bản cập nhật vào tháng 1/2018 của Oracle nhằm vá lỗi cho tổng cộng 238 lỗ hổng bảo mật trong các sản phẩm khác nhau.
Theo công bố công khai của Công ty an ninh ERPScan, công ty đã phát hiện và báo cáo vấn đề này, dịch vụ ứng dụng EGroway của MICROS (Oracle) được triển khai bởi hơn 300.000 nhà bán lẻ và kinh doanh trên toàn thế giới dễ bị tấn công vào thư mục.
Nếu bị khai thác, lỗ hổng (CVE-2018-2636) có thể cho phép kẻ tấn công đọc các dữ liệu nhạy cảm và nhận thông tin về các dịch vụ khác nhau từ các máy trạm MICROS dễ bị tổn thương mà không có chứng thực.
Sử dụng lỗ hổng xuyên qua thư mục, một nội gián trái phép có quyền truy cập vào ứng dụng dễ bị tổn thương có thể đọc các tập tin nhạy cảm từ máy trạm MICROS, bao gồm các bản ghi dịch vụ và các tệp cấu hình.
Theo các nhà nghiên cứu giải thích, hai tệp tin nhạy cảm này được lưu trữ trong bộ nhớ ứng dụng - SimphonyInstall.xml, hoặc Dbconfix.xml- chứa tên người dùng và mật khẩu được mã hóa để kết nối với cơ sở dữ liệu.
Các nhà nghiên cứu cảnh báo: kẻ tấn công có thể lấy tên người dùng DB và mật khẩu, bẻ khóa và truy cập vào DB với tất cả dữ liệu kinh doanh. Có một số cách khai thác nó, dẫn đến sự thỏa hiệp toàn bộ hệ thống MICROS.
Nếu ngư iệp to tin rằng việc truy cập vào POS URL là một ktin rằnsnap, các tin t cácó thể tìm thấy quy mô kỹ thuật số hoặc các thiết bị khác sử dụng RJ45, kết nối nó với Raspberry PI và quét mạng nội bộ.
Công ty an ninh ERPScan cũng đã phát hành một PoC khai thác dựa trên Python, nếu thực hiện trên một máy chủ MICROS có l thác , sẽ gửi một yêu cầu độc hại để có được nội dung của các tập tin nhạy cảm để đáp ứng.
Ngoài ra, bản cập nhật tháng 1/2018 của Oracle cũng cung cấp các bản vá cho lỗ hổng bộ vi xử lý Spectre và Meltdown Intel ảnh hưởng đến các sản phẩm Oracle.
Minh Thư
Theo The Hacker News
09:00 | 01/04/2019
14:00 | 03/07/2020
15:00 | 21/07/2020
10:00 | 26/04/2024
09:00 | 19/04/2024
Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.
07:00 | 08/04/2024
Red Hat cảnh báo người dùng ngừng ngay lập tức việc sử dụng các hệ thống chạy phiên bản thử nghiệm và phát triển Fedora, vì một backdoor được tìm thấy trong các công cụ và thư viện nén dữ liệu mới nhất của XZ Utils (trước đó là LZMA Ultis).
16:00 | 08/03/2024
Microsoft đã phát hành bản cập nhật Windows 11 'Moment 5' cho các phiên bản 23H2 và 22H2, bắt đầu triển khai các tính năng mới, chẳng hạn như các plugin và kỹ năng Windows Copilot, truy cập bằng giọng nói, các cải tiến AI cho ClipChamp và Photos và trình tường thuật.
16:00 | 16/11/2023
Ngày 16/11/2023, tại Hà Nội, Fortinet đã tổ chức cuộc thi đấu an ninh mạng mang tên “Fortinet Security Fabric Range Challenge” nhằm nâng cao năng lực phòng thủ cho các nhà quản lý công nghệ thông tin và an ninh bảo mật mạng, giúp các chuyên gia bảo mật an ninh mạng của Việt Nam có cơ hội giao lưu, trải nghiệm nhiều tình huống tấn công mạng mô phỏng thú vị và hấp dẫn.
Trong tháng 4/2024, Microsoft, Adobe và SAP lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
14:00 | 04/05/2024