![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
In den Micros-Zahlungsterminals (POS) von Oracle gibt es eine kritische Sicherheitsl\u00fccke, die remote ausgenutzt werden kann. Betreiber sollten ein Update installieren.<\/p>\nIn den Micros-Zahlungsterminals (POS) von Oracle gibt es eine kritische Sicherheitsl\u00fccke, die remote ausgenutzt werden kann. Betreiber sollten ein Update installieren.<\/p>\n
<\/p>\n
Keine Ahnung, ob und wie h\u00e4ufig Oracle MICROS-POS-Systeme (Zahlungsterminals) bei meinen Blog-Leser\/innen eingesetzt werden. Laut dieser Oracle-Seite sollte die POS-Terminals im Gastronomiebereich verwendet werden. <\/p>\n
Sicherheitsprobleme von Kassensystemen sind nicht neu und werden in den Medien immer mal wieder berichtet. Wenn man bedenkt, dass diese Ger\u00e4te mit pers\u00f6nlichen Informationen, Bestellungen und Kreditkartendetails umgehen, verwundert es nicht, dass diese in den Fokus von Hackern ger\u00e4t. Bereits im Jahr 2016 wurde Oracle MICROS System gehackt. <\/p>\n
Die Sicherheitsspezialisten von ERPscan befasst sich mit der Sicherheit von Gesch\u00e4ftsanwendungen sowie f\u00fcr kritischen Systemen, die anf\u00e4llig f\u00fcr Betrug sind. Ziel ist es, Schwachstellen zu identifizieren, bevor Hacker diese ausnutzen. Im September 2017 fand ein Sicherheitsforscher Dmitry Chastuhin (aka @_chipik) des ERPscan-Sicherheitsteam eine Oracle MICROS POS-Schwachstelle (CVE-2018-2636). Diese wurde von Oracle im Januar 2018 behoben. ERPscan hat dies in diesem Pressedokument \u00f6ffentlich gemacht. <\/p>\n
Oracle CPU stuft die Schwachstelle CVE-2018-2636 mit dem Wert 8,1 (von 10) ein. Das bedeutet, dass die Sicherheitsl\u00fccke dringend per Update geschlossen werden sollte. Denn ein Angreifer ist in der Lage, jede Datei zu lesen und Informationen \u00fcber verschiedene Dienste ohne Authentifizierung von einem anf\u00e4lligen MICROS-Kassensystem (Workstation) zu erhalten.<\/p>\n
Die Schwachstelle CVE-2018-2636 betrifft eine Reihe von MICROS Kassensystemen, die mit dem Internet verbunden sind. Die Schwachstelle in Oracle MICROS EGateway Application Service erm\u00f6glicht einen Zugriff auf das Verzeichnis der MICROS-Workstation. Falls ein Angreifer Zugriff auf die anf\u00e4llige URL hat, kann er oder sie zahlreiche Dateien von der MICROS-Workstation stehlen. Die betrifft auch Dienstprotokolle und Lesedateien wie SimphonyInstall.xml<\/em> oder Dbconfix.xml<\/em>, die Benutzernamen und verschl\u00fcsselte Passw\u00f6rter enthalten, um sich mit der DB zu verbinden, Informationen \u00fcber ServiceHost zu erhalten, etc.<\/p>\n Auf diesem Weg kann der Angreifer DB-Benutzernamen und Passwort-Hashes abgreifen und erh\u00e4lt vollen Zugriff auf die Datenbank mit allen Gesch\u00e4ftsdaten. Es gibt mehrere Angriffsm\u00f6glichkeiten, um das gesamte MICROS-System zu kompromittieren. Sucht man im Internet \u00fcber Shodan nach einer bestimmten URL, werden mindestens 170 System angezeigt, die online zugreifbar sind. Administratoren sollten den von Oracle im Januar 2018 bereitgestellten Patch<\/a> installieren. <\/p>\n Anmerkung: Ich hatte die Patch-\u00dcbersicht von Oracle bereits beim erstellen des Beitrags Java SE Version 8 Update 161 freigegeben gesehen, konnte das Thema aber nicht zuordnen. Erst durch diesen Beitrag<\/a> fielen die Puzzleteile ins Bild. <\/p>\n","protected":false},"excerpt":{"rendered":" In den Micros-Zahlungsterminals (POS) von Oracle gibt es eine kritische Sicherheitsl\u00fccke, die remote ausgenutzt werden kann. Betreiber sollten ein Update installieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[819,6450,4328],"class_list":["post-200403","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-oracle","tag-pos","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200403","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=200403"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200403\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=200403"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=200403"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=200403"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}