当前位置:首页 > 黑客教程 > 正文内容

SAP POS 支付系统曝高危漏洞,1 美元成功购买 MacBook

访客56年前 (1970-01-01)黑客教程1007

据外媒 8 月 28 日报道, *** 安全公司 ERPScan 研究人员近期发现 SAP POS 支付系统存在一处高危漏洞,允许黑客任意修改 SAP 销售站点的目标产品价格、拦截支付数据以及收集特定时间内使用信用卡的详细信息等。目前,黑客已利用该漏洞更改支付价格并以 1 美元成功购买 MacBook。

调查显示,该漏洞位于 SAP POS 支付系统的 SAP POS Xpress 服务器中,允许攻击者在无需任何身份验证下多次访问系统程序、修改管理权限。

什么是 SAP POS?

SAP POS 是 SAP 零售解决方案组合的其中一部分,自 2000 年以来就已为全球 80% 零售商提供服务。一般来说,SAP POS 由以下几种元素组成:

Ο 客户端应用程序安装在商店的 POS 终端上,用于处理支付交易;
Ο 存储服务器组件为商店后台提供连接、操作与管理功能。其中包括 POS Xpress 服务器以及一款存储服务器应用程序。
Ο 总部应用程序主要实现中央管理操作。

攻击场景

攻击者主要利用 SAP POS Xpress 服务器中缺少的授权检查功能远程访问 SAP POS 所在的同一 *** 环境。如果支付系统处于联网状态,攻击者就可进行远程攻击;但如果该系统尚未联网,攻击者则可通过连接一款成本仅需 25 美元的工具 Raspberry Pi 自动运行恶意命令进行远程访问。一旦进入系统,攻击者就可无限控制 POS 系统的后台与前端,任意上传恶意配置文件。

据悉,ERPScan 于今年四月就已通知 SAP 公司。随后,SAP 在 Security Note 2476601 与 SAP Security Note 2520064 系统中发布补丁程序。目前,研究人员建议客户尽快更新系统以保护公司关键业务资产免遭攻击。

原作者:Bogdan Popa 译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/34366.html

“SAP POS 支付系统曝高危漏洞,1 美元成功购买 MacBook” 的相关文章

Lapsus$ 黑客入侵 T-Mobile 的系统并窃取其源代码

Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说”被访问的系统不包含客户或政府信息或其他类似的敏感信息”。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。...

美政府悬赏 1000 万美元来寻找能够识别或定位俄黑客组织 Sandworm 成员的信息

据TechCrunch报道,美国政府通过悬赏1000万美元来寻找能够识别或定位黑客组织Sandworm成员的信息,从而加大了对六名俄罗斯情报官员的追捕力度。黑客组织Sandworm的成员为俄罗斯军事情报部门GRU的一个部门工作–以对关键基础设施,包括食品供应和能源部门发起破坏性和毁灭性的网络攻击而闻...

美及欧洲执法机构联盟查封了黑客网站 RaidForums.com

一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动,以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一,它承载着一个留言板系统,恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和...

分销网络遭黑客攻击后,伊朗加油站停止服务

伊朗国家石油产品分销公司(NIOPDC)的加油站26日停工,原因是网络攻击波及了整个分销网络。 NIOPDC网络在全国拥有3500多个加油站,80多年来一直供应石油产品。 调查机构正在查找造成破坏的原因,目前还没有公开说明幕后黑手的信息,但伊朗正在指责一个敌对国家。 并非全无线索,ISNA 通讯社首...

法国隐私监管机构向 Clearview AI 下达删除数据的命令

有争议的面部识别公司Clearview AI通过从互联网上搜罗自拍照片,积累了一个约100亿张图片的数据库,以便向执法部门出售身份匹配服务,今天,该公司再次被勒令删除人们的数据。法国的隐私监督机构CNIL今天说,这是因为Clearview违反了欧洲的《通用数据保护条例》(GDPR)。 在一份关于违...

白宫邀请苹果、亚马逊、IBM讨论开源软件安全问题

在美国遭受多次利用开源软件漏洞的攻击后,包括苹果在内的科技公司高管将于周四参加白宫的网络安全会议。1月13日星期四的会议是由于发现了开源Log4j软件的漏洞而专门召开的,该软件在国际上被用于应用程序的数据记录。 白宫国家安全顾问杰克-沙利文在12月写信给大科技公司的首席执行官,说这种开源软件是一个”...

评论列表

冬马照雨
2年前 (2022-06-19)

AP POS 是 SAP 零售解决方案组合的其中一部分,自 2000 年以来就已为全球 80% 零售商提供服务。一般来说,SAP POS 由以下几种元素组成:Ο 客户端应用程序安装在商店的 POS 终端上,用于处理支付交易;Ο 存储服务器

囤梦风晓
2年前 (2022-06-19)

据外媒 8 月 28 日报道,网络安全公司 ERPScan 研究人员近期发现 SAP POS 支付系统存在一处高危漏洞,允许黑客任意修改 SAP 销售站点的目标产品价格、拦截支付数据以及收集特定时间内使用信用卡的详细信息等。目前,黑客已利用该漏洞更改支付价格并以 1 美元成功购

痴者会傲
2年前 (2022-06-19)

据外媒 8 月 28 日报道,网络安全公司 ERPScan 研究人员近期发现 SAP POS 支付系统存在一处高危漏洞,允许黑客任意修改 SAP 销售站点的目标

嘻友里赴
2年前 (2022-06-19)

据外媒 8 月 28 日报道,网络安全公司 ERPScan 研究人员近期发现 SAP POS 支付系统存在一处高危漏洞,允许黑客任意修改 SAP 销售站点的目标产品价格、拦截支付数据以及收集特定时间内使用信用卡的详细信息等。目

世味颜于
2年前 (2022-06-19)

卡的详细信息等。目前,黑客已利用该漏洞更改支付价格并以 1 美元成功购买 MacBook。调查显示,该漏洞位于 SAP POS 支付系统的 SAP POS Xpress 服务器中,允许攻击者在无需任何身份验证

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。