ΑρχικήinetΜπορείτε να αγοράσετε ένα Apple MacBook με μόνο $1 λόγω έλλειψης ασφαλείας

Μπορείτε να αγοράσετε ένα Apple MacBook με μόνο $1 λόγω έλλειψης ασφαλείας

Η αγορά υπερβολικά δαπανηρών συσκευών όπως το MacBook της Apple με μόλις $ 1 είναι στην πραγματικότητα κάτι που μπορεί να γίνει λόγω της ευπάθειας στα συστήματα SAP POS, αποδεικνύει έρευνα που δημοσιεύει η εταιρεία ασφαλείας ERPScan.

Apple

Η εταιρεία έχει αναλύσει σε ένα βίντεο στο YouTube πώς μπορεί να υπάρξει κατάχρηση ασφάλειας στο SAP POS Xpress Server για να τροποποιηθεί η τιμή ενός συγκεκριμένου προϊόντος, να αναληφθούν οι πληρωμές και να συλλεχθούν οικονομικά στοιχεία όπως οι λεπτομέρειες μιας κάρτας που χρησιμοποιείται σε συγκεκριμένο χρόνο.

Το θέμα ευπάθειας βρίσκεται στον SAP POS Xpress Server ο οποίος διαχειρίζεται τις πληρωμές που πραγματοποιούνται μέσω των συστημάτων SAP POS στο κατάστημα και η έρευνα δείχνει ότι μια επίθεση έχει μεγάλες πιθανότητες να είναι επιτυχής επειδή η εφαρμογή χάνει πολλούς ελέγχους εξουσιοδότησης από την πλευρά του διακομιστή.

Η εταιρεία ασφάλειας λέει ότι για να παραβιάσει κάποιος χάκερ το σύστημα SAP POS, η επίθεση πρέπει να γίνει από το ίδιο δίκτυο που χρησιμοποιείται από τις λύσεις πληρωμής, έτσι ώστε οι κυβερνοεγκληματίες πρέπει φυσικά να βρίσκονται σε κατάστημα για να μπορούν να επωφεληθούν από το ελάττωμα. Αυτό είναι δυνατό με πολύ φθηνό hardware, όπως το Raspberry Pi και άλλα εργαλεία που κοστίζουν συνολικά μόλις $25.

Από την άλλη πλευρά, αν υπάρχει σύνδεση στο Διαδίκτυο, οι επιθέσεις μπορούν να γίνουν και από απόσταση, αλλά μόνο αν το δίκτυο εκτίθεται σε εξωτερικές συνδέσεις.

“Μόλις εισέλθετε, έχετε τον απεριόριστο έλεγχο του backend και του frontend του συστήματος POS, καθώς το εργαλείο μπορεί να φορτώσει ένα κακόβουλο αρχείο ρυθμίσεων στο SAP POS Xpress Server χωρίς καμία διαδικασία ελέγχου ταυτότητας. Οι νέες παράμετροι περιορίζονται από τη φαντασία των χάκερ: μπορούν να καθορίσουν ειδική τιμή ή έκπτωση, την ώρα που ισχύει η έκπτωση, τις συνθήκες υπό τις οποίες λειτουργεί – για παράδειγμα, κατά την αγορά ενός συγκεκριμένου προϊόντος “, εξηγεί η εταιρεία.

Η καλή πλευρά της κατάστασης είναι ότι η ευπάθεια έχει ήδη αναφερθεί στη μητρική εταιρεία τον Απρίλιο του τρέχοντος έτους και έχουν ήδη αποσταλεί διορθώσεις για να εμποδίσουν τις επιθέσεις.

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS