На конференции Hack in the Box специалисты компании ERPScan рассказали о проблемах Point-of-Sale (POS) систем SAP и других производителей. Баги позволяют атакующим похитить у организаций информацию о банковских картах, а также изменить цены на продаваемые товары. Стоит отметить, что в настоящее время найденные уязвимости уже исправлены (SAP Security Note 2476601 и 2520064), что и позволило исследователям рассказать о них открыто.

Исследователи пишут, что им удалось обнаружить ряд проблем в решениях SAP для розничной торговли, которыми пользуются почти 80% компаний в мире. В частности уязвимости были обнаружены в серверном компоненте Xpress Server, которому не хватает авторизации для выполнения ряда критических функций. Это позволяет злоумышленникам направить Xpress Server вредоносный файл конфигурации и получить контроль как над фронтэндом, так и над бэкэндом PoS-системы. Специалисты подчеркивают, что некоторые из таких систем доступны через интернет, то есть существует возможность удаленных атак.

В итоге взломщики могут использовать десятки команд, которые позволят им похитить у компании информацию о банковских картах клиентов, а также установить «специальные» цены и скидки на какие-либо товары. Кроме того, атакующие могут вообще отключить PoS-терминал или заставить систему снять деньги за покупку с карты предыдущего покупателя, а также настроить печать чека таким образом, чтобы в нем отображался полный номер банковской карты, а не только его последние четыре цифры.

Если уязвимая система недоступна из интернета, злоумышленники могут воспользоваться Raspberry Pi и оборудованием, суммарной стоимостью 25 долларов, для подключения к сети магазина или компании. Специалисты отмечают, что такой взлом можно достаточно легко осуществить через электронные весы. На видео ниже аналитики ERPScan демонстрируют атаку в действии и показывают, как в теории можно было приобрести MacBook за один доллар.



4 комментария

  1. john_

    31.08.2017 at 19:46

    А терминал хронист инфу о предыдущих картах?

  2. john_

    31.08.2017 at 19:47

  3. Il

    02.09.2017 at 00:35

    Сомнительная хрень. Кассир в здравом все отдаст макбук за рубль? Или заправки ломать за бесплатные чипсы?

  4. le

    02.09.2017 at 16:58

    > .. чтобы в нем отображался полный номер банковской карты, а не только его последние четыре цифры.

    Мне кажется, полный номер карты нигде не хранится и не передаётся.

Оставить мнение