Oracle ha lanzado una actualización de parche de seguridad para abordar una vulnerabilidad crítica remotamente explotable que afecta sus soluciones comerciales de punto de venta (POS) MICROS para la industria hotelera.

La solución ha sido lanzada como parte de la actualización de enero de 2018 de Oracle que repara un total de 238 vulnerabilidades de seguridad en sus diversos productos.

De acuerdo con la divulgación pública de ERPScan, la empresa de seguridad que descubrió y reportó este problema a la compañía, el MICROS EGateway Application Service de Oracle, desplegado por más de 300,000 minoristas pequeños y negocios en todo el mundo, es vulnerable al ataque transversal del directorio.

Si se explota, la vulnerabilidad ( CVE-2018-2636 ) podría permitir a los atacantes leer datos confidenciales y recibir información sobre diversos servicios de estaciones de trabajo MICROS vulnerables sin ninguna autenticación.

Al usar la falla de recorrido del directorio, una persona no autorizada con acceso a la aplicación vulnerable podría leer los archivos confidenciales de la estación de trabajo MICROS, incluidos los registros de servicio y los archivos de configuración.

Según lo explicado por los investigadores, dos de esos archivos confidenciales almacenados en el almacenamiento de la aplicación, SimphonyInstall.xml o Dbconfix.xml, contienen nombres de usuario y contraseñas encriptadas para conectarse a la base de datos.

“Entonces, el atacante puede arrebatar los nombres de usuario y contraseñas de las bases de datos, atacarlos brutalmente y obtener acceso completo al DB con todos los datos comerciales. Hay varias formas de su explotación, lo que lleva a todo el compromiso del sistema MICROS”, advirtieron los investigadores.

“Si crees que obtener acceso a la POS URL es muy fácil, ten en cuenta que los hackers pueden encontrar escalas digitales u otros dispositivos que usan RJ45, conectarlo a Raspberry PI y escanear la red interna. Allí es donde descubren fácilmente un punto de venta sistema. Recuerda este hecho cuando entras en una tienda “.

ERPScan también ha lanzado un exploit basado en Python de prueba de concepto, que, si se ejecuta en un servidor MICROS vulnerable, enviaría una solicitud maliciosa para obtener el contenido de los archivos sensibles en respuesta.

Además de esto, la actualización de parches de enero de 2018 de Oracle también proporciona soluciones para las vulnerabilidades del procesador Intel Spectre y Meltdown que afectan a ciertos productos de Oracle.

Fuente: Thehackernews.

author image

About Reinaldo Alberto Valdiviezo Rojas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

También podría gustarte...

Se filtran especificaciones sobre el Nokia 9
Objetos plástico impresos en 3D pueden conectarse a Wi-Fi sin baterías o componentes electrónicos.
Vesta: El robot doméstico de Amazon
Samsung lanzará su primer altavoz a principios de 2018
Google actualiza YouTube Kids: Será más seguro para niños
Los carros del futuro exhibidos en Detroit