Систему SAP POS удалось взломать с помощью ноутбука и карманного Raspberry Pi за $25

Из-за наличия критической уязвимости, систему SAP POS можно взломать с помощью бюджетных карманных ПК.

SAP POS – этопреднастроенноепо технологии “клиент-сервер” решениена основе системы SAP for Retail, предназначенной дляавтоматизации бухгалтерского учета, торговли и производства.Согласно данным издания «Forbes» за 2017 год, ее используют 80 процентов бизнесменов из 2000 крупнейших мировых компаний.

Уязвимость была обнаружена исследователями фирмы ERPScan. Они продемонстрировали свое открытие в рамках хакерской конференции «Hack in the Box», прошедшей в Сингапуре на прошлой неделе. Процесс взлома SAP с помощью одного лишь ноутбука и карманного компьютера Raspberry Pi подробно показан в видео.

В ходе презентации исследователи продемонстрировали, как можно купить Macbook за $1.

Таким образом, злоумышленники могут похитить учетные данныебанковских карт клиентов и даже получить полный контрольнад серверами компании-жертвы.

Как только злоумышленник входит в систему, ему сразу же предоставляется неограниченный доступ к внутренними внешнимпроцессамсистемы POS. На сервер SAP POS Xpress можно загрузить вредоносный файлбез какой-либо дополнительной процедуры аутентификации, говорится в отчете ERPScan.

Возможности ограничены лишь воображением хакера. Например, можно установить специальную цену или скидку на конкретный продукт, указать время действия скидки и условия, прикоторых она действительна.

Представители SAP сразу же отреагировали на данную информацию выпуском двух патчей (SAP Security Note 2476601 and SAP Security Note 2520064) и призвали всех пользователей системы незамедлительно обновить свое ПО.