黑客随便修改价格,1美元就能买到 Macbook Pro?

作者 | 发布日期 2017 年 08 月 29 日 9:50 | 分类 网络 , 计算机 , 资讯安全
macbook-pro-698890_960_720

如果你发现你紧巴巴攒了几个月买到的 Macbook Pro 居然 1 美元就能买到……



1美元大概等于6.6465人民币,6块钱买到 Macbook Pro?!

雷锋网(公众号:雷锋网)消息,近日安全公司 ERPScan 的安全研究员发现了一个 SAP POS Xpress Server 的漏洞,这个漏洞允许攻击者任意更改 SAP 销售点系统的配置文件和产品价格,还能收集消费者的银行卡数据。

厉害了Word 洞!

ERPScan 方面表示,SAP POS 系统没有任何身份验证措施,这相当于给黑客开了天窗,只要他们与 SAP POS Xpress Server 处于同一网络环境下,不需要任何凭证就能进入系统修改关键功能。如果支付系统与 Internet 相连,黑客也可以进行远程攻击。

你以为不联网就是安全的了吗?

NO!

即使 POS 系统采用气隙网络(air-gap network),攻击者只需要连接一个成本仅25美元的 Rasberry Pi,就可以自动运行恶意命令。

只需要几秒钟,黑客就能找到系统开放端口执行恶意命令,修改产品价格并上传新的 SAP POS Xpress Server 配置文件,并重新启动 POS 服务器。

在今年四月,ERPScan 已向 SAP 展示研究报告,SAP方面也在 Security Note 2476601 和 SAP Security Note 2520064 中修复。

而这似乎只是冰山一角,SAP 的 POS 系统被约 80% 的全球 2000 强零售商使用,这些系统都有做过相应的漏洞修补吗?

(本文由 雷锋网 授权转载
首图来源:Pixabay

如需获取更多资讯,请关注微信公众账号:Technews科技新报

雷锋网

雷锋网专注于移动互联网。 雷锋网由一群移动互联网的信徒建立,。 雷锋网努力做好移动互联网的三个代表,代表移动互联网未来发展的方向,代表移动互联网的颠覆创新思潮,代表移动互联网创业者和从业者的利益。
未经许可,任何媒体、网站或个人不得复制、转载、或以其他方式使用本网站的内容,违者必究。
关键字: , , ,

直接使用新浪微博发表评论

 

发表评论