Oracle แพตซ์อุดช่องโหว่ Micros PoS ที่ใช้กับระบบชำระเงินด้วย เครดิต/เดบิต กว่า 3 แสนแห่ง

Oracle ได้ออกแพตซ์แก้ไขปัญหา Bug ที่ทำให้เกิดช่องโหว่บนระบบ PoS (Micros point-of-sale) ที่แฮ็กเกอร์สามารถนำไปใช้เพื่อเก็บไฟล์การตั้งค่าของระบบ Micros PoS รวมถึงการได้รับสิทธิ์เต็มที่และเข้าถึงระบบ PoS อย่างถูกต้องและบริการอื่นที่ติดอยู่ด้วยเช่น เซิร์ฟเวอร์ หรือ ฐานข้อมูล 

รหัสของช่องโหว่ครั้งนี้คือ CVE-2018-2636 ซึ่งถูกจัดค่าความรุนแรงอยู่ที่ 8.1 และผลของ Bug นี้คือทำให้แฮ็กเกอร์สามารถใช้ช่องโหว่จากภายนอกได้โดยไม่ต้องพิสูจน์ตัวตนในการอ่านไฟล์บนระบบ PoS ที่มีช่องโหว่ นอกจากนั้นแฮ็กเกอร์ยังสามารถเข้าถึงไฟล์ตั้งค่าของระบบที่ภายในเก็บข้อมูลรหัสผ่านไว้ด้วย ซึ่งทาง ERPScan ผู้เชี่ยวชาญด้านการรักษาความปลอดภัย Oracle และ SAP เผยว่าแฮ็กเกอร์สามารถใช้ช่องโหว่นี้เพื่อได้รับสิทธิ์อย่างเต็มที่ในการเข้าถึงระบบปฏิบัติการเพื่อใช้ทำลายหรือปลอมแปลง ซึ่งข้อมูลที่แฮ็กเกอร์อาจจะได้รับคือเลขบัตรเครดิต เป็นต้น

เนื่องด้วยระบบ Micros PoS มีลูกค้าลงทะเบียนใช้งานกับการจ่ายเงินบัตรเครดิตและเดบิตกว่า 3 แสนราย มากกว่า 2 แสนรายเป็นร้านอาหารและเครื่องดื่ม รวมถึงโรงแรมกว่า 3 หมื่นแห่งใน 180 ประเทศ แพตซ์นี้จึงสำคัญอย่างยิ่ง อย่างไรก็ตามระบบส่วนใหญ่ไม่สามารถใช้ช่องโหว่ผ่านอินเทอร์เน็ตได้หากตั้งค่าระบบดีพอ แต่ด้วยความที่มันยังมีช่องโหว่แฮ็กเกอร์อาจจะใช้การเข้าถึงอุปกรณ์เครือข่ายภายในร้านก่อนหรือเข้าถึงหน้าร้านเพื่อใช้งานช่องโหว่นี้ได้

นอกจากนี้ด้วยความสำคัญของระบบ PoS ผู้ดูแลระบบส่วนใหญ่จึงไม่ค่อยอยากยุ่งกับระบบเท่าไหร่นักเพราะกลัวเรื่องความไม่สเถียรของแพตซ์อาจส่งผลให้เกิด Downtime ซึ่งทำให้บริษัทเสียรายได้

ที่มา : https://www.bleepingcomputer.com/news/security/security-bug-affects-over-300-000-oracle-pos-systems/ และ http://www.securityweek.com/remotely-exploitable-vulnerability-could-impact-300000-oracle-pos-systems

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ขอเชิญเข้าร่วมงานสัมมนา Confluent – Data Streaming World Tour Bangkok : AI Ships when Data Streams [16 ก.ย. 2026 ณ St Regis Bangkok]

Confluent ขอเชิญ CIO, CTO, CDO, CAIO, AI Engineer, Data Engineer, Data Scientist, Cloud Engineer, Software Engineer และผู้ที่สนใจทุกท่าน เข้าร่วมงานสัมมนา “Confluent - Data Streaming World Tour Bangkok : AI Ships when Data Streams” ณ โรงแรม The St. Regis Bangkok ในวันพฤหัสบดีที่ 16 กรกฎาคม 2026

Samsung ลั่น อุปสงค์ชิปหน่วยความจำจะดันกำไรจากการดำเนินงานพุ่ง 19 เท่า

รายงานผลประกอบการเบื้องต้นที่เผยแพร่โดย Samsung ระบุว่า ยอดขายและราคาของชิปหน่วยความจำที่ทำสถิติสูงสุดจะส่งผลให้กำไรจากการดำเนินงานในไตรมาสที่สองของ Samsung เพิ่มขึ้นถึง 19 เท่า