Kutatók egy olyan – már javított – hibáról számoltak be, melyet kihasználva az SAP és az Oracle POS-termináljai segítségével a szervert manipulálni lehet, hogy egy adott árucikket, mondjuk egy MacBookot akár egy dollárért is meg lehessen vásárolni.

[+]

Az SAP partnerének számító ERPScan biztonsági cég munkatársai, Dmitrij Csasztuhin és Vlagyimir Jegorov találtak egy olyan módot, mellyel be lehet jutni a POS mögötti back-end rendszerbe, és ott már átírhatták az árakat, illetve az akciós engedmények mértékét – mindezt augusztus 24-én mutatták be egy konferencián Szingapúrban. A szakemberek rájöttek, hogyan lehet egyszerűen megváltoztatni az SAP Xpress szerver konfigurációs beállításait úgy, hogy teljes körű felhatalmazást szerezzenek a szerver felett – ez ugye nemcsak azt jelenti, hogy szabadon tudták átírni az árakat, hanem azt is, hogy a terminálokat használók kártyaadatait is képesek voltak megszerezni, illetve ki- és bekapcsolhatták a terminálokat.

[+]

Csasztuhin elmondta, hogy ez a hiba nem kizárólag az SAP gondja volt, mivel nagyon sok POS-rendszer épül hasonló architektúrára, és azokban is fellelhetőek ilyen típusú sebezhetőségek. Ennek az az oka, hogy a gyártók szinte egyáltalán nem fordítanak gondot a POS munkaállomások és a szerverek kapcsolatának biztonságosságára, az autorizációs és titkosítási megoldások általában hiányoznak, így ha egy támadó bejut, rendszergazdai jogosultságot tud szerezni a teljes rendszer felett.

A szakemberek készítettek egy proof-of-concept videót is, melyet az előadással párhuzamosan publikáltak:

Az SAP a kutatók figyelmeztetése után augusztus közepén javította a hibát.