Oracle แพตซ์อุดช่องโหว่ Micros PoS ที่ใช้กับระบบชำระเงินด้วย เครดิต/เดบิต กว่า 3 แสนแห่ง

Oracle ได้ออกแพตซ์แก้ไขปัญหา Bug ที่ทำให้เกิดช่องโหว่บนระบบ PoS (Micros point-of-sale) ที่แฮ็กเกอร์สามารถนำไปใช้เพื่อเก็บไฟล์การตั้งค่าของระบบ Micros PoS รวมถึงการได้รับสิทธิ์เต็มที่และเข้าถึงระบบ PoS อย่างถูกต้องและบริการอื่นที่ติดอยู่ด้วยเช่น เซิร์ฟเวอร์ หรือ ฐานข้อมูล 

รหัสของช่องโหว่ครั้งนี้คือ CVE-2018-2636 ซึ่งถูกจัดค่าความรุนแรงอยู่ที่ 8.1 และผลของ Bug นี้คือทำให้แฮ็กเกอร์สามารถใช้ช่องโหว่จากภายนอกได้โดยไม่ต้องพิสูจน์ตัวตนในการอ่านไฟล์บนระบบ PoS ที่มีช่องโหว่ นอกจากนั้นแฮ็กเกอร์ยังสามารถเข้าถึงไฟล์ตั้งค่าของระบบที่ภายในเก็บข้อมูลรหัสผ่านไว้ด้วย ซึ่งทาง ERPScan ผู้เชี่ยวชาญด้านการรักษาความปลอดภัย Oracle และ SAP เผยว่าแฮ็กเกอร์สามารถใช้ช่องโหว่นี้เพื่อได้รับสิทธิ์อย่างเต็มที่ในการเข้าถึงระบบปฏิบัติการเพื่อใช้ทำลายหรือปลอมแปลง ซึ่งข้อมูลที่แฮ็กเกอร์อาจจะได้รับคือเลขบัตรเครดิต เป็นต้น

เนื่องด้วยระบบ Micros PoS มีลูกค้าลงทะเบียนใช้งานกับการจ่ายเงินบัตรเครดิตและเดบิตกว่า 3 แสนราย มากกว่า 2 แสนรายเป็นร้านอาหารและเครื่องดื่ม รวมถึงโรงแรมกว่า 3 หมื่นแห่งใน 180 ประเทศ แพตซ์นี้จึงสำคัญอย่างยิ่ง อย่างไรก็ตามระบบส่วนใหญ่ไม่สามารถใช้ช่องโหว่ผ่านอินเทอร์เน็ตได้หากตั้งค่าระบบดีพอ แต่ด้วยความที่มันยังมีช่องโหว่แฮ็กเกอร์อาจจะใช้การเข้าถึงอุปกรณ์เครือข่ายภายในร้านก่อนหรือเข้าถึงหน้าร้านเพื่อใช้งานช่องโหว่นี้ได้

นอกจากนี้ด้วยความสำคัญของระบบ PoS ผู้ดูแลระบบส่วนใหญ่จึงไม่ค่อยอยากยุ่งกับระบบเท่าไหร่นักเพราะกลัวเรื่องความไม่สเถียรของแพตซ์อาจส่งผลให้เกิด Downtime ซึ่งทำให้บริษัทเสียรายได้

ที่มา : https://www.bleepingcomputer.com/news/security/security-bug-affects-over-300-000-oracle-pos-systems/ และ http://www.securityweek.com/remotely-exploitable-vulnerability-could-impact-300000-oracle-pos-systems