Oracle telah merilis update patch keamanan untuk mengatasi kerentanan yang dapat dieksploitasi secara remote yang mempengaruhi Point-of-Sale Oracle MICROS untuk industri perhotelan.
Perbaikan tersebut telah dirilis sebagai bagian dari pembaruan Oracle pada bulan Januari 2018 yang memperbaiki total 238 kerentanan keamanan dalam berbagai produknya.
Menurut pengungkapan publik oleh ERPScan, perusahaan peneliti keamanan yang menemukan dan melaporkan masalah ini kepada perusahaan, Oracle’s MICROS EGateway Application Service, yang telah digunakan oleh lebih dari 300.000 peritel kecil dan bisnis di seluruh dunia, rentan terhadap serangan directory traversal.
Jika dieksploitasi, kerentanan ini (CVE-2018-2636) memungkinkan penyerang membaca data sensitif dan menerima informasi tentang berbagai layanan dari workstation MICROS yang rentan tanpa adanya otentikasi.
Menggunakan kerentanan directory traversal, orang yang tidak berwenang dengan akses ke aplikasi dapat membaca file sensitif dari workstation MICROS, termasuk log layanan dan file konfigurasi.
Seperti yang dijelaskan oleh para peneliti, dua file sensitif semacam itu tersimpan dalam penyimpanan aplikasi. Yaitu file SimphonyInstall.xml atau Dbconfix.xml yang berisi nama pengguna dan kata sandi terenkripsi untuk menghubungkan ke database.
“Jadi, penyerang bisa mencuri nama pengguna DB dan hash password, membuat para penyerang mendapatkan akses penuh ke DB dengan semua data bisnis. Ada beberapa cara eksploitasi, yang menyebabkan kompromi seluruh sistem MICROS,” para periset memperingatkan.
ERPScan juga telah merilis sebuah proof-of-concept berbasis Python, yang jika dijalankan pada server MICROS yang rentan, akan mengirim request untuk mendapatkan konten file sensitif sebagai response nya.
“Jika Anda yakin bahwa mendapatkan akses ke URL POS sangat mudah, ingatlah bahwa peretas dapat menemukan timbangan digital atau perangkat lain yang menggunakan RJ45, hubungkan ke Raspberry PI, dan pindai jaringan internal. Di situlah mereka dengan mudah menemukan POS. Ingat fakta ini saat Anda masuk ke toko.”
Selain itu, update patch Oracle pada bulan Januari 2018 juga memberikan perbaikan bagi kerentanan prosesor Intel yaitu Meltdown dan Spectre yang berdampak pada produk Oracle tertentu.
