Oracle再次被曝漏洞，影響33萬用戶

來自ERPScan公司的安全專家們發現了這個編號爲CVE-2018-2636的漏洞。這個漏洞來自Oracle MICROS系統內的銷售點（Point-of-Sale）終端，可能被利用來從硬件內無需驗證地讀取敏感資料。

ERPScan發佈的漏洞分析內這樣寫道：「CVE2018-2636標記了一個Oracle MICROS系統內的文件夾遍歷時暴露出的漏洞。若是公司內部有人獲得了某個關鍵文件夾的路徑，他就能從一臺終端中偷取許多關鍵的資料，包括服務日誌以及一些包含着用戶名和密碼的信息，甚至可使用這些密碼去鏈接數據庫，得到更多關於服務器端之類的信息。」

「攻擊者們可以得到數據庫用戶名以及哈希事後的密碼，將密碼暴力破解而後得到數據庫內部商業資料的全部權限。並且還有許多不一樣的利用這個漏洞的攻擊方式，致使整個MICROS系統處在危險之中。」

Oracle的MICROS系統在世界範圍內擁有超過330000的現金註冊用戶，涵蓋了許多食物賣場（200000+）以及酒店（30000）。

研究者還解釋道，對一個本地攻擊者來講要獲取到MICROS銷售點終端的URL路徑是很簡單的。

例如，他能夠找到一個商場的電子秤或者其餘使用RJ45點硬件，將其鏈接到Raspberry PI（樹莓派），而後掃描整個內部網絡。另外一個選項是能夠經過這些暴露在因特網上的設備來定位。截止本稿完成之時，共有139個MICROS銷售點系統暴露在因特網上，其中大多數位於美國及加拿大。

這並非MICROS首次遭到質疑，2016年時就曾經有黑客經過客戶售後支持中心入侵MICROS系統。

分析報告最後總結道：「若是你想保護你的系統免受網絡攻擊的危害，你必須持續地保持更新，安裝全部安全補丁。在這個案例中，特指Oracle在2018年1月的更新。」