Ένα νέο κενό ασφάλειας εντοπίστηκε στα προϊόντα της Oracle και συγκεκριμένα στα Oracle Micros POS.
Το ελάττωμα (CVE-2018-2636) ανακαλύφθηκε από τον Dimitry Chastuhin, ερευνητή ασφάλειας της ERPScan. Η ευπάθεια επιτρέπει σε έναν εισβολέα να συλλέγει δεδομένα από τα αρχεία ρυθμίσεων των συστημάτων Micros POS. Τα ανακτημένα δεδομένα μπορούν στη συνέχεια να χρησιμοποιηθούν για να επιτραπεί στους επιτιθέμενους πλήρης και νόμιμη πρόσβαση στο σύστημα POS και τις υπηρεσίες (βάση δεδομένων,servers). Στο πιο συνηθισμένο σενάριο, ένας εισβολέας πιθανότατα θα εγκαταστήσει ένα POS malware για να συλλέξει τα στοιχεία της κάρτας πληρωμής σας, όμως υπάρχει και η περίπτωση εγκατάστασης κακόβουλου λογισμικού για εταιρική κατασκοπία η για την δημιουργία διόδου στο σύστημα για μελλοντικές επιθέσεις.
Το ελάττωμα μπορεί να αξιοποιηθεί εξ αποστάσεως μέσω προσεκτικά επεξεργασμένων HTTP requests. Η Oracle λέει ότι πάνω από 300.000 εταιρείες επέλεξαν να χρησιμοποιήσουν τα συστήματα Micros POS για να διαχειριστούν τις πληρωμές με πιστωτικές / χρεωστικές κάρτες. Τα περισσότερα από αυτά δεν θα είναι συνδεδεμένα στο Internet όμως αυτό δεν σημαίνει πως δεν είναι ευάλωτα. Οι hackers μπορούν να χρησιμοποιήσουν άλλα συστήματα στο εσωτερικό δίκτυο του καταστήματος και να εκτελέσουν τον κακόβουλο κώδικα στα POS.
Η Oracle κυκλοφόρησε ενημερώσεις για αυτό το θέμα νωρίτερα αυτό το μήνα, αλλά θα χρειαστεί αρκετός καιρός μέχρι να γίνουν οι διορθώσεις στα επηρεαζόμενα συστήματα POS. Ο λόγος είναι ότι τα συστήματα POS είναι συστήματα κρίσιμης σημασίας για τις επιχειρήσεις και οι διαχειριστές της προγραμματίζουν εργασίες συντήρησης και ενημέρωσης αρκετά προσεκτικά, φοβούμενοι ότι μια ασταθής εφαρμογή ενδέχεται να προκαλέσει περαιτέρω προβλήματα και οικονομικές απώλειες στις εταιρείες τους.
 ανακαλύφθηκε από τον Dimitry Chastuhin, ερευνητή ασφάλειας της ERPScan){kind=link}