如果你發現你緊巴巴攢了幾個月買到的 Macbook Pro 居然 1 美元就能買到......
1美元大概等于6.6465人民幣,6塊錢買到 Macbook Pro?!
雷鋒網(公眾號:雷鋒網)消息,近日安全公司 ERPScan 的安全研究員發現了一個 SAP POS Xpress Server 的漏洞,這個漏洞允許攻擊者任意更改 SAP 銷售點系統的配置文件和產品價格,還能收集消費者的銀行卡數據。
厲害了Word 洞!
ERPScan 方面表示,SAP POS 系統沒有任何身份驗證措施,這相當于給黑客開了天窗,只要他們與 SAP POS Xpress Server 處于同一網絡環境下,不需要任何憑證就能進入系統修改關鍵功能。如果支付系統與 Internet 相連,黑客也可以進行遠程攻擊。
你以為不聯網就是安全的了嗎?
NO!
即使 POS 系統采用氣隙網絡(air-gap network),攻擊者只需要連接一個成本僅25美元的 Rasberry Pi,就可以自動運行惡意命令。
只需要幾秒鐘,黑客就能找到系統開放端口執行惡意命令,修改產品價格并上傳新的 SAP POS Xpress Server 配置文件,并重新啟動 POS 服務器。
在今年四月,ERPScan 已向 SAP 展示研究報告,SAP方面也在 Security Note 2476601 和 SAP Security Note 2520064 中修復。
而這似乎只是冰山一角,SAP 的 POS 系統被約 80% 的全球 2000 強零售商使用,這些系統都有做過相應的漏洞修補嗎?
京公網安備 11010502049343號