ИБ-эксперт из компании ERPScan Дмитрий Частухин выявил в программном обеспечении для PoS-терминалов Oracle Micros уязвимость, благодаря которой пользователь, не прошедший авторизацию, может заполучить доступ к базе данных PoS-сервера.
Как утверждает исследователь, человек, который имеет доступ к уязвимым кассовым терминалам (к примеру, сотрудник магазина), может просматривать локальные файлы, находить там имена пользователей и пароли, а затем, используя учетную информацию, получать полный доступ к базе данных.
В том случае, если злоумышленник не знает, можно ли атаковать то или иное устройство, он может провести сканирование сети. Задача упрощается, если целевые устройства подключены к общей локальной сети магазина.
Как утверждают представители Oracle, данную проблему устранили в течение января. После этого эксперты ERPScan обнародовали PoC-эксплоит для уязвимости.
