Hotel yang Terancam Bug di Perangkat Lunak Manajemen Properti Oracle

Ribuan hotel dan entitas lain dalam industri perhotelan di seluruh dunia yang menggunakan sistem manajemen properti Oracle Opera mungkin ingin segera menambal kelemahan pada perangkat lunak yang diungkapkan Oracle dalam pembaruan keamanan April 2023.

Oracle telah menjelaskan kerentanan (CVE-2023-21932) sebagai bug kompleks dalam produk Layanan Properti Oracle Hospitality Opera 5 yang hanya dapat dieksploitasi oleh penyerang terotentikasi dengan akses istimewa tinggi. Vendor memberinya peringkat tingkat keparahan sedang 7.2 pada skala CVSS antara lain didasarkan pada fakta nyata bahwa penyerang tidak dapat mengeksploitasinya dari jarak jauh.

Penilaian Salah

Tetapi para peneliti yang benar-benar menemukan dan melaporkan kelemahan tersebut ke Oracle tidak setuju dengan karakterisasi kerentanan perusahaan dan menyebutnya tidak benar.

Dalam sebuah posting blog, para peneliti – dari perusahaan manajemen permukaan serangan Assetnote dan dua organisasi lainnya – mengatakan bahwa mereka telah mencapainya eksekusi kode jarak jauh pra-otentikasi menggunakan bug saat berpartisipasi di acara peretasan langsung tahun lalu. Para peneliti menggambarkan target dalam acara itu sebagai salah satu resor terbesar di AS.

“Kerentanan ini tidak memerlukan otentikasi apa pun untuk dieksploitasi, terlepas dari klaim Oracle,” kata Shubham Shah, salah satu pendiri dan CTO Assetnote, dalam posting blog minggu ini. “Kerentanan ini seharusnya memiliki skor CVSS 10.0.”

Oracle tidak menanggapi permintaan Pembacaan Gelap untuk mengomentari penilaian peneliti tentang kerentanan.

Oracle Opera, juga dikenal sebagai Micros Opera, adalah sistem manajemen properti yang digunakan hotel dan jaringan hotel di seluruh dunia untuk mengelola reservasi, layanan tamu, akuntansi, dan operasi lainnya secara terpusat. Pelanggannya termasuk jaringan besar seperti Wyndham Group, Radisson Hotels, Accor Hotels, Marriott, dan IHG.

Penyerang yang mengeksploitasi perangkat lunak berpotensi mendapatkan akses ke informasi identitas pribadi, data kartu kredit, dan informasi sensitif lainnya milik tamu. CVE-2023-21932 ada di versi 5.6 dari platform Layanan Properti Opera 5.

Oracle mengatakan kerentanan memungkinkan penyerang yang mengeksploitasinya untuk menjangkau semua data di mana Layanan Properti Opera 5 memiliki akses. Itu juga akan membiarkan penyerang memperbarui, menyisipkan, atau menghapus akses ke setidaknya beberapa data dalam sistem.

Bug Urutan Operasi

Shah, pemburu bug di platform HackerOne, menemukan kerentanan saat melakukan analisis kode sumber Opera bekerja sama dengan Sean Yeoh, pemimpin teknik di Assetnote, Brendan Scarvell, penguji pena dengan PwC Australia, dan Jason Haddix, CISO di musuh perusahaan emulasi BuddoBot.

Shah dan peneliti lain mengidentifikasi CVE-2023-21932 berkaitan dengan segmen kode Opera yang membersihkan muatan terenkripsi untuk dua variabel tertentu, dan kemudian mendekripsinya, alih-alih melakukannya sebaliknya. Jenis bug "urutan operasi" ini memberi penyerang cara untuk menyelinap ke muatan apa pun melalui variabel tanpa terjadi sanitasi, kata para peneliti.

“Bug urutan operasi sangat jarang, dan bug ini adalah contoh yang sangat jelas dari kelas bug ini,” Shah men-tweet minggu ini.

“Kami dapat memanfaatkan bug ini untuk mendapatkan akses ke salah satu resor terbesar di AS, untuk acara peretasan langsung.”

Para peneliti menguraikan langkah-langkah yang mereka ambil untuk mengatasi kontrol khusus di Opera untuk mencapai eksekusi pra-otentikasi, mencatat bahwa tidak ada dari mereka yang memerlukan akses khusus atau pengetahuan tentang perangkat lunak.

“Semua langkah yang dilakukan dalam mengeksploitasi kerentanan ini tanpa autentikasi apa pun,” tulis mereka. Mereka mengklaim Oracle membutuhkan waktu hampir setahun penuh untuk merilis bug tersebut setelah diberitahu tentang hal itu.

Menanggapi blog Assetnote, peneliti keamanan Kevin Beaumont mengatakan ada beberapa pertanyaan Shodan yang dapat digunakan penyerang untuk menemukan hotel dan entitas lain yang menggunakan Opera. Beaumont mengatakan setiap properti yang dia temukan melalui Shodan tidak ditambal terhadap kekurangannya. “Pada tahap tertentu, kita perlu membicarakan tentang keamanan produk Oracle,” kata Beaumont.

Menurut Shah dan peneliti lainnya, CVE-2023-21932 hanyalah salah satu dari banyak kekurangan di Oracle Opera — setidaknya beberapa di antaranya belum ditangani oleh perusahaan. "Tolong jangan pernah mengekspos ini ke Internet," tulis mereka.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
• Sumber: https://www.darkreading.com/application-security/hotels-at-risk-from-bug-in-oracle-property-management-software