黑客随便修改价格,1美元就能买到 Macbook Pro?

如果你发现你紧巴巴攒了几个月买到的 Macbook Pro 居然 1 美元就能买到……

1美元大概等于6.6465人民币,6块钱买到 Macbook Pro?!

雷锋网(公众号:雷锋网)消息,近日安全公司 ERPScan 的安全研究员发现了一个 SAP POS Xpress Server 的漏洞,这个漏洞允许攻击者任意更改 SAP 销售点系统的配置文件和产品价格,还能收集消费者的银行卡数据。

厉害了Word 洞!

ERPScan 方面表示,SAP POS 系统没有任何身份验证措施,这相当于给黑客开了天窗,只要他们与 SAP POS Xpress Server 处于同一网络环境下,不需要任何凭证就能进入系统修改关键功能。如果支付系统与 Internet 相连,黑客也可以进行远程攻击。

你以为不联网就是安全的了吗?

NO!

即使 POS 系统采用气隙网络(air-gap network),攻击者只需要连接一个成本仅25美元的 Rasberry Pi,就可以自动运行恶意命令。

只需要几秒钟,黑客就能找到系统开放端口执行恶意命令,修改产品价格并上传新的 SAP POS Xpress Server 配置文件,并重新启动 POS 服务器。

在今年四月,ERPScan 已向 SAP 展示研究报告,SAP方面也在 Security Note 2476601 和 SAP Security Note 2520064 中修复。

而这似乎只是冰山一角,SAP 的 POS 系统被约 80% 的全球 2000 强零售商使用,这些系统都有做过相应的漏洞修补吗?

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/109539.html

(0)
上一篇 2021年8月26日 14:31
下一篇 2021年8月26日 14:31

相关推荐

发表回复

登录后才能评论