Apple продает свои MacBook по заведомо высоким ценам, но хакеры смогли найти способ сломать систему. Они скинули стоимость MacBook до $1.
Исследователи из компании по безопасности ПО ERPScan обнаружили уязвимость в терминалах точек продажи, разработанных SAP и Oracle. Она позволяет проникнуть в базовую систему и повлиять на цены и скидки для любого товара.
Дмитрий Частухин и Владимир Егоров из ERPScan обнаружили, что сервер Xpress страдал от множества отсутствующих мер авторизации. Помимо доступа к данным кредитных карт, это также позволило злоумышленникам получить неограниченный контроль над сервером.
В общем то, это не проблема SAP. Многие POS-системы имеют схожую архитектуру и такие же уязвимости.
Связи между рабочей станцией POS и сервером хранилища [часто] не имеют основ кибербезопасности – процедуры авторизации и шифрования – никто не заботится об этом. Итак, как только атакующий находится в сети, он или она получает полный контроль над системой.
В своем видеоролике исследователи показывают, как злоумышленник может использовать 25-долларовый одноплатный компьютер Raspberry Pi для получения доступа к серверу POS-терминала и установки вредоносного ПО, предназначенного для подмены цен.
Исследователи советуют «как можно скорее внедрить соответствующие исправления (SAP Security Note 2476601 и SAP Security Note 2520064) для защиты критически важных точек». [TNW]
Источник: