Expertos en seguridad de ERPScan han descubierto una nueva vulnerabilidad en las terminales de venta MICROS de Oracle, que podría abrir la posibilidad de que los atacantes lean los datos que se transfieren a los dispositivos sin haber pasado por el debido proceso de autentificación.
El servicio MICROS de Oracle, que puede emplearse de forma maliciosa al aprovechar una vulnerabilidad que se registró como CVE-2018-2636, se utiliza en más de 330.000 cajas registradoras de todo el mundo y está instalado en más de 200.000 terminales de venta de negocios de comida y en más de 30.000 cajas registradoras de hoteles.
“CVE-2018-2636 es una vulnerabilidad transversal en el servicio de aplicaciones EGateway de Oracle MICROS. Si algún atacante que se encuentra dentro del sistema tiene acceso a la URL vulnerable, puede extraer archivos de la estación de trabajo MICROS, incluyendo registros de servicios y archivos de lectura como SimphonyInstall.xml o Dbconfix.xml que contienen nombres de usuario y contraseñas cifradas para conectarse a la base de datos, recibir información sobre ServiceHost, etc.”, explicó ERPScan en el análisis que publicó.
“El atacante puede conseguir los nombres de usuario y hashes de contraseñas de la base de datos y usarlos para forzar su acceso a la base de datos que contenga todos los datos de los negocios realizados por la compañía”, indicó ERPScan. Este método también permite a los atacantes conseguir los nombres de los clientes, direcciones de correo electrónico, fechas de nacimiento, números de teléfono, cantidad total de ventas y números de tarjetas de crédito y débito.
La vulnerabilidad también informa a los atacantes sobre las promociones y descuentos de la compañía y le da lugar a alterarlos. ERPScan, que se especializa en seguridad de dispositivos de puntos de venta, hace poco descubrió un método para engañar a las terminales para que entreguen productos Premium, como computadoras y teléfonos, por precios arbitrarios que pueden ser tan bajos como un dólar.
Cualquier persona con acceso a las terminales de venta, como un empleado, puede explotar la vulnerabilidad. Un atacante puede analizar la red en busca de dispositivos vulnerables, una tarea que se facilita cuando los equipos de la tienda están conectados entre sí con un cable ethernet.
La vulnerabilidad ha recibido un 8,1 sobre una escala de 10 puntos por su gravedad. Aun así, Oracle dijo que la complejidad del ataque era “alta”, lo que disminuye las posibilidades de que sea explotada, al menos de forma masiva.
La falla ha sido parchada en las actualizaciones de enero 2018 de Oracle, lo que le permitió a la compañía de seguridad ERPScan hacer públicos los pormenores de sus descubrimientos sin poner en peligro a los usuarios. Aun así, es recomendable que se instalen las actualizaciones lo antes posible para protegerse contra los peligros de esta amenaza.