تقوم شركة Apple ببيع حواسبها المحمولة نوع MacBook بمعدّلات عالية جدا، لكن ربما قد وجد القراصنة طريقة لضرب النظام، وربما تخفيض السعر إلى دولار واحد.
إكتشف باحثون من شركة أمن البرمجيات ERPScan ثغرة أمنية في أجهزة نقاط البيع التي وضعتها SAP و Oracle، إذا ما تم استغلالها يمكن للخلل أن يمنح ترخيصاً للهاكرز للاستفادة من النظام والعبث بالأسعار والخصومات عن أي بُند.
وقد وجد Dmitry Chastuhin و Vladimir Egorov من شركة ERPScan أن خادم النظام عانى من عدد كبير من تدابير الترخيص المفقودة، وبالإضافة إلى الحصول على بيانات بطاقات الائتمان، تمكّن القراصنة أيضا من السيطرة المطلقة على الخادم.
وهذا يشمل إمكانية تغيير الأسعار وأسعار الخصم، فضلا عن القدرة على بدء تشغيل وإغلاق المحطات عن بعد.
وقال Chastuhin: "بشكل عام، إنها ليست مشكلة SAP، لدى العديد من أنظمة نقاط البيع بنية مماثلة وبالتالي نقاط الضعف نفسها".
"تفتقر الروابط بين محطة عمل نقاط البيع وخادم المتجر، في كثير من الأحيان، إلى أساسيات الأمن السيبراني (إجراأت الترخيص والتشفير) ولا أحد يهتم بها، لذلك فبمجرد تواجد المهاجم في الشبكة، فإنه يكسب السيطرة الكاملة على النظام."
قام Chastuhin و Egorov منذ ذلك الحين بمشاركة فيديو إثباتي في يوتيوب. يُبيّن الباحثون في المقطع كيف يمكن للمهاجم استخدام جهاز Raspberry Pi للولوج إلى محطة نقاط البيع وتثبيت برمجيات خبيثة تهدف إلى تغيير الأسعار.
كشف ERPScan الخلل لأول مرة ل SAP في أبريل من هذا العام. وفي حين أن الشركة أصدرت تصحيحا له في يوليو، لكن تمكن الباحثون من استغلال عيب آخر لأداء نفس الهجوم. وفي أعقاب التقرير الثاني، نجحت SAP الآن في تصحيح نقاط الضعف على حد سواء.
يمكنكم مشاهدة الفيديو
إكتشف باحثون من شركة أمن البرمجيات ERPScan ثغرة أمنية في أجهزة نقاط البيع التي وضعتها SAP و Oracle، إذا ما تم استغلالها يمكن للخلل أن يمنح ترخيصاً للهاكرز للاستفادة من النظام والعبث بالأسعار والخصومات عن أي بُند.
وهذا يشمل إمكانية تغيير الأسعار وأسعار الخصم، فضلا عن القدرة على بدء تشغيل وإغلاق المحطات عن بعد.
وقال Chastuhin: "بشكل عام، إنها ليست مشكلة SAP، لدى العديد من أنظمة نقاط البيع بنية مماثلة وبالتالي نقاط الضعف نفسها".
"تفتقر الروابط بين محطة عمل نقاط البيع وخادم المتجر، في كثير من الأحيان، إلى أساسيات الأمن السيبراني (إجراأت الترخيص والتشفير) ولا أحد يهتم بها، لذلك فبمجرد تواجد المهاجم في الشبكة، فإنه يكسب السيطرة الكاملة على النظام."
قام Chastuhin و Egorov منذ ذلك الحين بمشاركة فيديو إثباتي في يوتيوب. يُبيّن الباحثون في المقطع كيف يمكن للمهاجم استخدام جهاز Raspberry Pi للولوج إلى محطة نقاط البيع وتثبيت برمجيات خبيثة تهدف إلى تغيير الأسعار.
كشف ERPScan الخلل لأول مرة ل SAP في أبريل من هذا العام. وفي حين أن الشركة أصدرت تصحيحا له في يوليو، لكن تمكن الباحثون من استغلال عيب آخر لأداء نفس الهجوم. وفي أعقاب التقرير الثاني، نجحت SAP الآن في تصحيح نقاط الضعف على حد سواء.
يمكنكم مشاهدة الفيديو
ليست هناك تعليقات:
إرسال تعليق