Oracle के ओपेरा संपत्ति प्रबंधन प्रणाली का उपयोग करने वाले दुनिया भर के आतिथ्य उद्योग में हजारों होटल और अन्य संस्थाएं उस सॉफ़्टवेयर में एक दोष को जल्दी से ठीक करना चाहती हैं जिसका खुलासा Oracle ने अपने अप्रैल 2023 सुरक्षा अद्यतन में किया था।
ओरेकल ने भेद्यता का वर्णन किया है (CVE-2023-21932) ओरेकल हॉस्पिटैलिटी ओपेरा 5 प्रॉपर्टी सर्विसेज उत्पाद में एक जटिल बग के रूप में जिसका केवल अत्यधिक विशेषाधिकार प्राप्त पहुंच वाला प्रमाणित हमलावर ही फायदा उठा सकता है। विक्रेता ने अन्य बातों के अलावा इस स्पष्ट तथ्य के आधार पर इसे सीवीएसएस पैमाने पर 7.2 की मध्यम गंभीरता रेटिंग दी है कि कोई हमलावर इसका दूर से शोषण नहीं कर सकता है।
ग़लत मूल्यांकन
लेकिन जिन शोधकर्ताओं ने वास्तव में दोष की खोज की और ओरेकल को रिपोर्ट दी, वे कंपनी की भेद्यता के लक्षण वर्णन से असहमत थे और इसे गलत बताया।
एक ब्लॉग पोस्ट में, शोधकर्ताओं - हमले की सतह प्रबंधन फर्म एसेटनोट और दो अन्य संगठनों से - ने कहा कि उन्होंने हासिल किया है पूर्व-प्रमाणीकरण रिमोट कोड निष्पादन पिछले वर्ष एक लाइव हैकिंग इवेंट में भाग लेते समय बग का उपयोग करना। शोधकर्ताओं ने उस घटना में लक्ष्य को अमेरिका के सबसे बड़े रिसॉर्ट्स में से एक बताया।
एसेटनोट के सह-संस्थापक और सीटीओ शुभम शाह ने इस सप्ताह एक ब्लॉग पोस्ट में कहा, "ओरेकल के दावों के बावजूद, इस भेद्यता का फायदा उठाने के लिए किसी प्रमाणीकरण की आवश्यकता नहीं है।" "इस भेद्यता का सीवीएसएस स्कोर 10.0 होना चाहिए।"
ओरेकल ने शोधकर्ताओं के भेद्यता के आकलन पर टिप्पणी के लिए डार्क रीडिंग के अनुरोध का जवाब नहीं दिया।
ओरेकल ओपेरा, जिसे माइक्रोज़ ओपेरा के नाम से भी जाना जाता है, एक संपत्ति प्रबंधन प्रणाली है जिसका उपयोग दुनिया भर के होटल और होटल श्रृंखलाएं आरक्षण, अतिथि सेवाओं, लेखांकन और अन्य कार्यों को केंद्रीय रूप से प्रबंधित करने के लिए करती हैं। इसके ग्राहकों में विंडहैम ग्रुप, रेडिसन होटल्स, एक्कोर होटल्स, मैरियट और आईएचजी जैसी प्रमुख श्रृंखलाएं शामिल हैं।
सॉफ़्टवेयर का फायदा उठाने वाले हमलावर संभावित रूप से व्यक्तिगत रूप से पहचान योग्य जानकारी, क्रेडिट कार्ड डेटा और मेहमानों से संबंधित अन्य संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं। CVE-2023-21932 ओपेरा 5.6 प्रॉपर्टी सर्विसेज प्लेटफॉर्म के संस्करण 5 में मौजूद है।
ओरेकल ने कहा कि भेद्यता इसका फायदा उठाने वाले हमलावरों को उन सभी डेटा तक पहुंचने की अनुमति देती है जिनमें ओपेरा 5 प्रॉपर्टी सर्विसेज की पहुंच है। यह हमलावरों को सिस्टम में कम से कम कुछ डेटा तक पहुंच को अपडेट करने, डालने या हटाने की सुविधा भी देगा।
संचालन का एक आदेश बग
हैकरवन प्लेटफॉर्म पर बग हंटर शाह ने एसेटनोट में इंजीनियरिंग लीड शॉन येओह, पीडब्ल्यूसी ऑस्ट्रेलिया के पेन टेस्टर ब्रेंडन स्कारवेल और एडवर्सरी में सीआईएसओ जेसन हैडिक्स के सहयोग से ओपेरा के स्रोत-कोड विश्लेषण का संचालन करते समय भेद्यता की खोज की। अनुकरण कंपनी बुड्डोबॉट।
शाह और अन्य शोधकर्ताओं ने सीवीई-2023-21932 की पहचान एक ओपेरा कोड सेगमेंट के साथ की है जो दो विशिष्ट चर के लिए एक एन्क्रिप्टेड पेलोड को साफ करता है, और फिर इसे दूसरे तरीके से करने के बजाय इसे डिक्रिप्ट करता है। शोधकर्ताओं ने कहा कि इस प्रकार का "संचालन का क्रम" बग हमलावरों को बिना किसी स्वच्छता के वेरिएबल के माध्यम से किसी भी पेलोड में घुसने का रास्ता देता है।
"संचालन क्रम बग वास्तव में दुर्लभ हैं, और यह बग इस बग वर्ग का एक बहुत स्पष्ट उदाहरण है," शाह ने ट्वीट किया इस सप्ताह.
"हम लाइव हैकिंग इवेंट के लिए अमेरिका के सबसे बड़े रिसॉर्ट्स में से एक तक पहुंच पाने के लिए इस बग का लाभ उठाने में सक्षम थे।"
शोधकर्ताओं ने पूर्व-प्रमाणीकरण निष्पादन को प्राप्त करने के लिए ओपेरा में विशिष्ट नियंत्रणों को दूर करने के लिए उठाए गए कदमों की रूपरेखा तैयार की, यह देखते हुए कि उनमें से किसी को भी सॉफ़्टवेयर की किसी भी प्रकार की विशेष पहुंच या ज्ञान की आवश्यकता नहीं थी।
उन्होंने लिखा, "इस भेद्यता के शोषण में किए गए सभी कदम बिना किसी प्रमाणीकरण के थे।" उन्होंने दावा किया कि ओरेकल को बग के बारे में सूचित होने के बाद उसे जारी करने में लगभग पूरा एक साल लग गया।
एसेटनोट ब्लॉग पर प्रतिक्रिया देते हुए, सुरक्षा शोधकर्ता केविन ब्यूमोंट ने कहा कि ऐसे कई शोडन प्रश्न हैं जिनका उपयोग एक हमलावर ओपेरा का उपयोग करके होटल और अन्य संस्थाओं को खोजने के लिए कर सकता है। ब्यूमोंट ने कहा कि शोडान के माध्यम से उन्हें जो भी संपत्ति मिली, उसमें कोई खामी नहीं थी। "किसी स्तर पर, हमें Oracle उत्पाद सुरक्षा के बारे में बात करने की ज़रूरत है," ब्यूमोंट ने कहा.
शाह और अन्य शोधकर्ताओं के अनुसार, CVE-2023-21932 Oracle ओपेरा की कई खामियों में से एक है - कम से कम जिनमें से कुछ पर कंपनी ने ध्यान नहीं दिया है। उन्होंने लिखा, "कृपया इसे कभी भी इंटरनेट पर उजागर न करें।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- मिंटिंग द फ्यूचर डब्ल्यू एड्रिएन एशले। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/hotels-at-risk-from-bug-in-oracle-property-management-software
- :हैस
- :है
- :नहीं
- 10
- 2023
- 7
- a
- योग्य
- About
- इसके बारे में
- पहुँच
- लेखांकन
- पाना
- हासिल
- वास्तव में
- बाद
- के खिलाफ
- सब
- की अनुमति देता है
- भी
- के बीच में
- an
- विश्लेषण
- और
- कोई
- स्पष्ट
- अप्रैल
- हैं
- चारों ओर
- AS
- मूल्यांकन
- सौंपा
- At
- आक्रमण
- ऑस्ट्रेलिया
- प्रमाणीकृत
- प्रमाणीकरण
- आधारित
- जा रहा है
- सबसे बड़ा
- ब्लॉग
- दोष
- कीड़े
- बुलाया
- कर सकते हैं
- कार्ड
- चेन
- सीआईएसओ
- ने दावा किया
- का दावा है
- कक्षा
- स्पष्ट
- सह-संस्थापक
- कोड
- सहयोग
- कंपनी
- जटिल
- का आयोजन
- नियंत्रण
- सका
- श्रेय
- क्रेडिट कार्ड
- सीटीओ
- ग्राहक
- अंधेरा
- डार्क रीडिंग
- तिथि
- वर्णित
- के बावजूद
- डीआईडी
- की खोज
- do
- कर देता है
- कर
- एन्क्रिप्टेड
- अभियांत्रिकी
- संस्थाओं
- कार्यक्रम
- कभी
- प्रत्येक
- उदाहरण
- निष्पादन
- मौजूद
- शोषण करना
- शोषण
- खोज
- फर्म
- दोष
- खामियां
- के लिए
- पाया
- से
- पूर्ण
- लाभ
- देता है
- समूह
- अतिथि
- मेहमानों
- हैकिंग
- था
- हो रहा है
- है
- होने
- he
- अत्यधिक
- आतिथ्य
- होटल
- होटल
- HTTPS
- पहचान
- in
- शामिल
- उद्योग
- करें-
- बजाय
- इंटरनेट
- IT
- आईटी इस
- जेपीजी
- केवल
- सिर्फ एक
- बच्चा
- ज्ञान
- जानने वाला
- सबसे बड़ा
- पिछली बार
- पिछले साल
- नेतृत्व
- कम से कम
- चलो
- लीवरेज
- जीना
- प्रमुख
- प्रबंधन
- प्रबंध
- बहुत
- हो सकता है
- आवश्यकता
- NIST
- of
- on
- ONE
- केवल
- Opera
- संचालन
- or
- पेशीनगोई
- आदेश
- संगठनों
- अन्य
- उल्लिखित
- काबू
- भाग लेने वाले
- पैच
- व्यक्तिगत रूप से
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- कृप्या अ
- पद
- संभावित
- विशेषाधिकृत
- एस्ट्रो मॉल
- संपत्ति
- पीडब्ल्यूसी
- प्रश्नों
- जल्दी से
- दुर्लभ
- दर्ज़ा
- पहुंच
- पढ़ना
- वास्तव में
- और
- दूरस्थ
- की सूचना दी
- का अनुरोध
- की आवश्यकता होती है
- अपेक्षित
- शोधकर्ता
- शोधकर्ताओं
- रिसॉर्ट्स
- प्रतिक्रिया
- जोखिम
- s
- कहा
- स्केल
- स्कोर
- शॉन
- सुरक्षा
- खंड
- संवेदनशील
- सेवाएँ
- कई
- चाहिए
- उचक्का
- सॉफ्टवेयर
- कुछ
- विशेष
- विशिष्ट
- ट्रेनिंग
- कदम
- ऐसा
- सतह
- प्रणाली
- बातचीत
- लक्ष्य
- कि
- RSI
- उन
- फिर
- वहाँ।
- वे
- चीज़ें
- इसका
- इस सप्ताह
- हजारों
- सेवा मेरे
- ले गया
- दो
- टाइप
- अपडेट
- us
- उपयोग
- का उपयोग
- विक्रेता
- संस्करण
- बहुत
- के माध्यम से
- भेद्यता
- करना चाहते हैं
- था
- मार्ग..
- we
- सप्ताह
- थे
- क्या
- कब
- कौन कौन से
- जब
- कौन
- साथ में
- बिना
- दुनिया भर
- होगा
- वर्ष
- जेफिरनेट