Hôtels menacés par un bug dans le logiciel de gestion immobilière Oracle

Les milliers d'hôtels et d'autres entités du secteur hôtelier dans le monde qui utilisent le système de gestion immobilière Opera d'Oracle pourraient vouloir corriger rapidement une faille dans le logiciel divulguée par Oracle dans sa mise à jour de sécurité d'avril 2023.

Oracle a décrit la vulnérabilité (CVE-2023-21932) comme un bug complexe dans le produit Oracle Hospitality Opera 5 Property Services que seul un attaquant authentifié disposant d'un accès hautement privilégié pourrait exploiter. L'éditeur lui a attribué une note de gravité modérée de 7.2 sur l'échelle CVSS, basée entre autres sur le fait apparent qu'un attaquant ne pourrait pas l'exploiter à distance.

Évaluation incorrecte

Mais les chercheurs qui ont découvert et signalé la faille à Oracle ne sont pas d'accord avec la caractérisation de la vulnérabilité par l'entreprise et l'ont qualifiée d'incorrecte.

Dans un article de blog, les chercheurs – de la société de gestion des surfaces d'attaque Assetnote et de deux autres organisations – ont déclaré avoir atteint exécution de code à distance de pré-authentification en utilisant le bug lors de la participation à un événement de piratage en direct l'année dernière. Les chercheurs ont décrit la cible de cet événement comme l'une des plus grandes stations balnéaires des États-Unis.

"Cette vulnérabilité ne nécessite aucune authentification pour être exploitée, malgré ce que prétend Oracle", a déclaré Shubham Shah, co-fondateur et CTO d'Assetnote, dans un article de blog cette semaine. "Cette vulnérabilité devrait avoir un score CVSS de 10.0."

Oracle n'a pas répondu à une demande de commentaires de Dark Reading sur l'évaluation de la vulnérabilité par les chercheurs.

Oracle Opera, également connu sous le nom de Micros Opera, est un système de gestion immobilière que les hôtels et les chaînes hôtelières du monde entier utilisent pour gérer de manière centralisée les réservations, les services clients, la comptabilité et d'autres opérations. Ses clients comprennent de grandes chaînes telles que le groupe Wyndham, Radisson Hotels, Accor Hotels, Marriott et IHG.

Les attaquants qui exploitent le logiciel peuvent potentiellement accéder à des informations personnelles identifiables, aux données de carte de crédit et à d'autres informations sensibles appartenant aux invités. CVE-2023-21932 existe dans la version 5.6 de la plateforme Opera 5 Property Services.

Oracle a déclaré que la vulnérabilité permet aux attaquants qui l'exploitent d'accéder à toutes les données auxquelles Opera 5 Property Services a accès. Cela permettrait également aux attaquants de mettre à jour, d’insérer ou de supprimer l’accès à au moins certaines données du système.

Un bug d’ordre des opérations

Shah, un chasseur de bogues sur la plate-forme HackerOne, a découvert la vulnérabilité en effectuant une analyse du code source d'Opera en collaboration avec Sean Yeoh, responsable de l'ingénierie chez Assetnote, Brendan Scarvell, testeur d'écriture chez PwC Australie et Jason Haddix, RSSI chez Adversary. société d'émulation BuddoBot.

Shah et les autres chercheurs ont identifié CVE-2023-21932 comme étant lié à un segment de code Opera nettoyant une charge utile cryptée pour deux variables spécifiques, puis la déchiffrant, au lieu de procéder dans l'autre sens. Ce type de bug « d’ordre des opérations » donne aux attaquants un moyen d’introduire n’importe quelle charge utile via les variables sans aucune désinfection, ont indiqué les chercheurs.

"Les bogues d'ordre des opérations sont vraiment rares, et ce bogue est un exemple très clair de cette classe de bogues", Shah a tweeté cette semaine.

"Nous avons pu exploiter ce bug pour accéder à l'une des plus grandes stations balnéaires des États-Unis, pour un événement de piratage en direct."

Les chercheurs ont décrit les mesures qu'ils ont prises pour surmonter les contrôles spécifiques dans Opera afin de réaliser l'exécution de la pré-authentification, notant qu'aucune d'entre elles ne nécessitait un accès spécial ou une connaissance du logiciel.

"Toutes les étapes effectuées dans l'exploitation de cette vulnérabilité se sont déroulées sans aucune authentification", ont-ils écrit. Ils ont affirmé qu'Oracle avait mis près d'un an pour publier le bogue après en avoir été informé.

Répondant au blog Assetnote, le chercheur en sécurité Kevin Beaumont a déclaré qu'il existait plusieurs requêtes Shodan qu'un attaquant pouvait utiliser pour trouver des hôtels et d'autres entités utilisant Opera. Beaumont a déclaré que chaque propriété qu'il avait trouvée via Shodan n'était pas corrigée contre la faille. « À un moment donné, nous devrons parler de la sécurité des produits Oracle » Beaumont a dit.

Selon Shah et les autres chercheurs, CVE-2023-21932 n'est que l'une des nombreuses failles d'Oracle Opera, dont la société n'a pas corrigé au moins certaines. « S’il vous plaît, ne exposez jamais cela sur Internet », ont-ils écrit.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
• Frapper l'avenir avec Adryenn Ashley. Accéder ici.
• La source: https://www.darkreading.com/application-security/hotels-at-risk-from-bug-in-oracle-property-management-software