Из-за наличия критической уязвимости, систему SAP POS можно взломать с помощью бюджетных карманных ПК.
SAP POS — этопреднастроенноепо технологии «клиент-сервер» решениена основе системы SAP for Retail, предназначенной дляавтоматизации бухгалтерского учета, торговли и производства.Согласно данным издания «Forbes» за 2017 год, ее используют 80 процентов бизнесменов из 2000 крупнейших мировых компаний.
Уязвимость была обнаружена исследователями фирмы ERPScan. Они продемонстрировали свое открытие в рамках хакерской конференции «Hack in the Box», прошедшей в Сингапуре на прошлой неделе. Процесс взлома SAP с помощью одного лишь ноутбука и карманного компьютера Raspberry Pi подробно показан в видео.
В ходе презентации исследователи продемонстрировали, как можно купить Macbook за $1.
Таким образом, злоумышленники могут похитить учетные данныебанковских карт клиентов и даже получить полный контрольнад серверами компании-жертвы.
Как только злоумышленник входит в систему, ему сразу же предоставляется неограниченный доступ к внутренними внешнимпроцессамсистемы POS. На сервер SAP POS Xpress можно загрузить вредоносный файлбез какой-либо дополнительной процедуры аутентификации, говорится в отчете ERPScan.
Возможности ограничены лишь воображением хакера. Например, можно установить специальную цену или скидку на конкретный продукт, указать время действия скидки и условия, прикоторых она действительна.
Представители SAP сразу же отреагировали на данную информацию выпуском двух патчей (SAP Security Note 2476601 and SAP Security Note 2520064) и призвали всех пользователей системы незамедлительно обновить свое ПО.
