Уязвимость в SAP POS Xpress Server позволяет злоумышленникам изменять файлы конфигурации для систем точек продаж SAP, изменять цены, а также собирать данные платежных карт и отправлять их на один из своих серверов.
Решения SAP POS основаны на архитектуре клиент-сервер, которую розничные продавцы могут установить в своих магазинах. Система состоит из различных POS-клиентов, где клиенты платят, и POS-сервера, работающего где-то в служебном офисе магазина.
При каждом платеже клиенты подключаются к серверу и получают цену за отсканированный продукт, а затем передают данные платежной карты в банк-обработчик. ERPScan сообщает, что POS-решение SAP используется примерно 80% розничных продавцов, включенных в рейтинг Forbes Global 2000.
Сервер SAP POS не аутентифицирует внутренние команды
Уязвимость была обнаружена исследователями безопасности из ERPScan, сообщена SAP в апреле 2017 года и исправлена в SAP Security Note 2476601 и SAP Security Note 2520064 .
Проблема, лежащая в основе ошибки безопасности, заключается в том, что сервер SAP POS Xpress не выполняет никаких проверок аутентификации, что означает, что злоумышленник может изменять критические функции без предоставления каких-либо учетных данных. Злоумышленники могут изменять цены на продукты, способы обработки платежных операций или даже устанавливать снифферы, которые собирают данные платежных карт.
Единственное условие – злоумышленники имеют доступ к той же сети, в которой установлен сервер SAP POS Xpress. Если этот сервер подключен к Интернету, атака может быть проведена из удаленных мест.
Исследователи говорят, что если сеть POS-системы закрыта, злоумышленник должен быть в магазине и подключить специальное устройство, которое автоматически запускает все вредоносные команды. Устройство представляет собой обычную плату Rasberry Pi, которая стоит около 25 долларов.
По словам команды ERPScan, найти открытые порты легко, а атака занимает всего несколько секунд, поскольку выполняются вредоносные команды, загружается новый файл конфигурации сервера SAP POS Xpress с измененными ценами и перезапускается сервер POS.
Уязвимость может привести к серьезным финансовым потерям
Видео в верхней части этой статьи показывает, как исследователи ERPScan используют обнаруженную ими уязвимость, чтобы изменить цену дорогого Macbook Pro до 1 доллара.
Хотя эта демонстрация яркая и выполняет свою задачу, демонстрируя серьезность уязвимости, исследователи говорят, что в реальном сценарии хакеры не рискнут раскрыть свою схему. Реальная опасность заключается в применении скидок от 20% до 50% на дорогие товары, которые продавцы магазинов не сочтут подозрительными, но их будет достаточно для мошенников, чтобы впоследствии перепродать товары и получить прибыль на черном рынке.
Эксперты также предупреждают, что этот недостаток может быть использован для блокировки систем SAP POS и причинить серьезные финансовые убытки розничным продавцам, которые не могут установить исправления безопасности SAP.
« Мы настоятельно рекомендуем нашим клиентам обезопасить свою среду SAP, немедленно применив доступные исправления безопасности с портала поддержки SAP», – сообщил Bleeping Computer представитель SAP по электронной почте. « Все рассматриваемые уязвимости в SAP Point of Sale (POS) Retail Xpress Server были исправлены, а исправления безопасности доступны для загрузки на портале поддержки SAP ».
« Группа реагирования на безопасность продуктов SAP часто сотрудничает с исследовательскими компаниями, такими как ERPScan, для обеспечения ответственного раскрытия уязвимостей», – добавили в компании.