甲骨文POS漏洞波及全球33萬台收銀機

企業應用資安業者ERPScan本周指出，甲骨文（Oracle）旗下Oracle Hospitality所開發的銷售終端系統（Point-of-Sale，POS）含有一安全漏洞，將允許駭客存取諸如使用者名稱或加密密碼等機密資訊，進而獲得資料庫的存取權限，估計將波及全球33萬台採用基於該系統的收銀機。甲骨文則已於今年1月修補了該漏洞。

這是個編號為CVE-2018-2636的目錄穿越（directory traversal）漏洞，駭客只要傳遞一個特製的封包到POS系統上的網路服務，即可自遠端讀取POS系統上的檔案，以及存放密碼等機密資訊的配置檔，進而利用這些憑證進入POS系統及與之連結的伺服器或資料庫。

之後即可植入惡意程式以蒐集消費者的金融卡資訊或執行商業間諜任務。

根據估計，全球約有33萬台收銀機採用Oracle Hospitality的POS系統，橫跨180個國家的餐廳及旅館業。不過，真正曝露在網路上的只有170個，意謂著其他大多數的POS系統無法藉由遠端攻陷，必須實際觸及POS系統才能開採漏洞。

Oracle Hospitality原名為Micros Systems，由甲骨文在2014年以53億美元買下，在甲骨文今年1月所釋出的238個安全更新中，就有21個牽涉到隸屬於Oracle Hospitality應用程式的漏洞，當中有15個可自遠端開採，CVE-2018-2636即為其中之一。