如果你发现你紧巴巴攒了几个月买到的 Macbook Pro 居然 1 美元就能买到……
1美元大概等于6.6465人民币,6块钱买到 Macbook Pro?!
雷锋网(公众号:雷锋网)消息,近日安全公司 ERPScan 的安全研究员发现了一个 SAP POS Xpress Server 的漏洞,这个漏洞允许攻击者任意更改 SAP 销售点系统的配置文件和产品价格,还能收集消费者的银行卡数据。
厉害了Word 洞!
ERPScan 方面表示,SAP POS 系统没有任何身份验证措施,这相当于给黑客开了天窗,只要他们与 SAP POS Xpress Server 处于同一网络环境下,不需要任何凭证就能进入系统修改关键功能。如果支付系统与 Internet 相连,黑客也可以进行远程攻击。
你以为不联网就是安全的了吗?
NO!
即使 POS 系统采用气隙网络(air-gap network),攻击者只需要连接一个成本仅25美元的 Rasberry Pi,就可以自动运行恶意命令。
只需要几秒钟,黑客就能找到系统开放端口执行恶意命令,修改产品价格并上传新的 SAP POS Xpress Server 配置文件,并重新启动 POS 服务器。
在今年四月,ERPScan 已向 SAP 展示研究报告,SAP方面也在 Security Note 2476601 和 SAP Security Note 2520064 中修复。
而这似乎只是冰山一角,SAP 的 POS 系统被约 80% 的全球 2000 强零售商使用,这些系统都有做过相应的漏洞修补吗?
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/109539.html