قد ترغب آلاف الفنادق والكيانات الأخرى في صناعة الضيافة في جميع أنحاء العالم التي تستخدم نظام إدارة الممتلكات Opera من Oracle في تصحيح الخلل بسرعة في البرنامج الذي كشفت عنه Oracle في التحديث الأمني الخاص بها في أبريل 2023.
لقد وصفت أوراكل الثغرة الأمنية (CVE-2023-21932) كخطأ معقد في منتج Oracle Hospitality Opera 5 Property Services الذي لا يمكن استغلاله إلا من قبل مهاجم معتمد يتمتع بوصول متميز للغاية. قام البائع بمنحه تصنيف خطورة معتدل يبلغ 7.2 على مقياس CVSS بناءً على حقيقة واضحة مفادها أن المهاجم لم يتمكن من استغلاله عن بُعد.
تقييم غير صحيح
لكن الباحثين الذين اكتشفوا الخلل بالفعل وأبلغوا شركة أوراكل يختلفون مع وصف الشركة للثغرة الأمنية ووصفوها بأنها غير صحيحة.
وفي منشور بالمدونة، قال الباحثون - من شركة إدارة سطح الهجوم Assetnote ومنظمتين أخريين - إنهم حققوا ذلك تنفيذ التعليمات البرمجية عن بعد للمصادقة المسبقة استخدام الخطأ عند المشاركة في حدث القرصنة المباشر العام الماضي. ووصف الباحثون الهدف في هذا الحدث بأنه أحد أكبر المنتجعات في الولايات المتحدة.
وقال شوبهام شاه، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في Assetnote، في منشور بالمدونة هذا الأسبوع: "لا تتطلب هذه الثغرة الأمنية أي مصادقة لاستغلالها، على الرغم من ادعاءات Oracle". "يجب أن تحصل هذه الثغرة الأمنية على درجة CVSS تبلغ 10.0."
لم تستجب شركة Oracle لطلب Dark Reading للتعليق على تقييم الباحثين للثغرة الأمنية.
Oracle Opera، المعروف أيضًا باسم Micros Opera، هو نظام لإدارة الممتلكات تستخدمه الفنادق وسلاسل الفنادق في جميع أنحاء العالم لإدارة الحجوزات وخدمات الضيوف والمحاسبة والعمليات الأخرى مركزيًا. وتشمل قائمة عملائها سلاسل كبرى مثل مجموعة ويندهام، وفنادق راديسون، وفنادق أكور، وماريوت، وIHG.
من المحتمل أن يتمكن المهاجمون الذين يستغلون البرنامج من الوصول إلى معلومات التعريف الشخصية وبيانات بطاقة الائتمان وغيرها من المعلومات الحساسة الخاصة بالضيوف. يوجد CVE-2023-21932 في الإصدار 5.6 من النظام الأساسي Opera 5 Property Services.
وقالت أوراكل إن الثغرة تسمح للمهاجمين الذين يستغلونها بالوصول إلى جميع البيانات التي يمكن لـ Opera 5 Property Services الوصول إليها. كما أنه سيسمح للمهاجمين بتحديث أو إدراج أو حذف الوصول إلى بعض البيانات الموجودة في النظام على الأقل.
خطأ في ترتيب العمليات
اكتشف شاه، صائد الأخطاء على منصة HackerOne، الثغرة الأمنية أثناء إجراء تحليل التعليمات البرمجية المصدر لـ Opera بالتعاون مع Sean Yeoh، قائد الهندسة في Assetnote، وبريندان سكارفيل، مختبر القلم لدى PwC Australia، وجيسون هاديكس، كبير مسؤولي تكنولوجيا المعلومات في شركة Adversary. شركة مضاهاة BuddoBot.
حدد شاه والباحثون الآخرون CVE-2023-21932 على أنه يتعلق بمقطع كود Opera الذي يقوم بتطهير حمولة مشفرة لمتغيرين محددين، ثم فك تشفيرها، بدلاً من القيام بذلك في الاتجاه المعاكس. وقال الباحثون إن هذا النوع من خطأ "ترتيب العمليات" يمنح المهاجمين طريقة للتسلل إلى أي حمولة عبر المتغيرات دون حدوث أي عملية تطهير.
"الأخطاء في ترتيب العمليات نادرة حقًا، وهذا الخطأ هو مثال واضح جدًا على فئة الأخطاء هذه." غرد شاه هذا الاسبوع.
"لقد تمكنا من الاستفادة من هذا الخطأ للوصول إلى أحد أكبر المنتجعات في الولايات المتحدة، لحضور حدث قرصنة مباشر."
وأوجز الباحثون الخطوات التي اتخذوها للتغلب على ضوابط محددة في Opera لتحقيق تنفيذ المصادقة المسبقة، مشيرين إلى أن أيًا منها لم يتطلب أي نوع من الوصول الخاص أو المعرفة بالبرنامج.
وكتبوا: "جميع الخطوات التي تم تنفيذها لاستغلال هذه الثغرة الأمنية كانت دون أي مصادقة". زعموا أن شركة Oracle استغرقت عامًا كاملاً تقريبًا لإصدار الخطأ بعد إخطارها به.
ردًا على مدونة Assetnote، قال الباحث الأمني كيفن بومونت إن هناك العديد من استفسارات Shodan التي يمكن للمهاجم استخدامها للعثور على الفنادق والكيانات الأخرى التي تستخدم Opera. وقال بومونت إن كل الممتلكات التي وجدها عبر شودان لم يتم إصلاحها ضد الخلل. "في مرحلة ما، نحتاج إلى التحدث عن أمان منتجات Oracle" قال بومونت.
وفقًا لشاه والباحثين الآخرين، فإن CVE-2023-21932 هو مجرد واحد من العديد من العيوب في Oracle Opera - على الأقل لم تعالج الشركة بعضها. وكتبوا: "من فضلك لا تعرض هذا على الإنترنت أبدًا".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/hotels-at-risk-from-bug-in-oracle-property-management-software
- :لديها
- :يكون
- :ليس
- 10
- 2023
- 7
- a
- ماهرون
- من نحن
- حوله
- الوصول
- المحاسبة
- التأهيل
- تحقق
- في الواقع
- بعد
- ضد
- الكل
- يسمح
- أيضا
- من بين
- an
- تحليل
- و
- أي وقت
- واضح
- ابريل
- هي
- حول
- AS
- التقييم المناسبين
- تعيين
- At
- مهاجمة
- أستراليا
- موثق
- التحقّق من المُستخدم
- على أساس
- يجري
- أكبر
- المدونة
- علة
- البق
- تسمى
- CAN
- فيزا وماستركارد
- السلاسل
- CISO
- ادعى
- مطالبات
- فئة
- واضح
- المؤسس المشارك
- الكود
- للاتعاون
- حول الشركة
- مجمع
- إجراء
- ضوابط
- استطاع
- ائتمان
- بطاقة إئتمان
- CTO
- العملاء
- غامق
- قراءة مظلمة
- البيانات
- وصف
- على الرغم من
- فعل
- اكتشف
- do
- هل
- فعل
- مشفرة
- الهندسة
- الكيانات
- الحدث/الفعالية
- EVER
- كل
- مثال
- موجود
- استغلال
- استغلال
- شركة
- عيب
- العيوب
- في حالة
- وجدت
- تبدأ من
- بالإضافة إلى
- ربح
- يعطي
- تجمع
- ضيف
- زوار
- القرصنة
- كان
- حدث
- يملك
- وجود
- he
- جدا
- حسن الضيافة
- الفندق
- فنادق
- HTTPS
- محدد
- in
- تتضمن
- العالمية
- معلومات
- بدلًا من ذلك
- Internet
- IT
- انها
- JPG
- م
- واحد فقط
- نوع
- المعرفة
- معروف
- أكبر
- اسم العائلة
- العام الماضي
- قيادة
- الأقل
- اسمحوا
- الرافعة المالية
- حي
- رائد
- إدارة
- إدارة
- كثير
- ربما
- حاجة
- نيست
- of
- on
- ONE
- فقط
- العمل
- عمليات
- or
- أوراكل
- طلب
- المنظمات
- أخرى
- أوجز
- تغلب
- المشاركة
- بقعة
- شخصيا
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- من فضلك
- منشور
- يحتمل
- متميز
- المنتج
- الملكية
- PWC
- الاستفسارات
- بسرعة
- نادر
- تصنيف
- الوصول
- نادي القراءة
- في الحقيقة
- الافراج عن
- عن بعد
- وذكرت
- طلب
- تطلب
- مطلوب
- الباحث
- الباحثين
- منتجعات
- الرد
- المخاطرة
- s
- قال
- حجم
- أحرز هدفاً
- شون
- أمن
- قطعة
- حساس
- خدماتنا
- عدة
- ينبغي
- تسلل
- تطبيقات الكمبيوتر
- بعض
- تختص
- محدد
- المسرح
- خطوات
- هذه
- المساحة
- نظام
- حديث
- الهدف
- أن
- •
- منهم
- then
- هناك.
- هم
- الأشياء
- هذا الأسبوع
- الآلاف
- إلى
- استغرق
- اثنان
- نوع
- تحديث
- us
- تستخدم
- استخدام
- بائع
- الإصدار
- جدا
- بواسطة
- الضعف
- تريد
- وكان
- طريق..
- we
- أسبوع
- كان
- ابحث عن
- متى
- التي
- في حين
- من الذى
- مع
- بدون
- في جميع أنحاء العالم
- سوف
- عام
- زفيرنت