黑客隨便修改價格,1美元就能買到 Macbook Pro?

如果你發現你緊巴巴攢了幾個月買到的 Macbook Pro 居然 1 美元就能買到……

1 美元大概等於6. 6465 人民幣, 6 塊錢買到 Macbook Pro?!

近日安全公司 ERPScan 的安全研究員發現了一個 SAP POS Xpress Server 的漏洞,這個漏洞允許攻擊者任意更改 SAP 銷售點系統的配置文件和產品價格,還能收集消費者的銀行卡數據。

厲害了Word 洞!

ERPScan
方面表示,SAP POS 系統沒有任何身份驗證措施,這相當於給黑客開了天窗,只要他們與 SAP POS Xpress Server
處於同一網路環境下,不需要任何憑證就能進入系統修改關鍵功能。如果支付系統與 Internet 相連,黑客也可以進行遠程攻擊。

你以為不聯網就是安全的了嗎?

NO!

即使 POS 系統採用氣隙網路(air-gap network),攻擊者只需要連接一個成本僅 25 美元的 Rasberry Pi,就可以自動運行惡意命令。

只需要幾秒鐘,黑客就能找到系統開放埠執行惡意命令,修改產品價格並上傳新的 SAP POS Xpress Server 配置文件,並重新啟動 POS 伺服器。

在今年四月,ERPScan 已向 SAP 展示研究報告,SAP方面也在 Security Note 2476601 和 SAP Security Note 2520064 中修復。

而這似乎只是冰山一角,SAP 的 POS 系統被約 80% 的全球 2000 強零售商使用,這些系統都有做過相應的漏洞修補嗎?