מלונות בסיכון של באג בתוכנת ניהול נכסים של אורקל

אלפי בתי המלון וגופים אחרים בתעשיית האירוח ברחבי העולם המשתמשים במערכת ניהול הנכסים Opera של אורקל עשויים לרצות לתקן במהירות פגם בתוכנה שאורקל חשפה בעדכון האבטחה שלה באפריל 2023.

אורקל תיארה את הפגיעות (CVE-2023-21932) כבאג מורכב במוצר Oracle Hospitality Opera 5 Property Services שרק תוקף מאומת עם גישה מועדפת יכול לנצל. הספק הקצה לו דירוג חומרה בינוני של 7.2 בסולם CVSS בהתבסס בין היתר על העובדה הנראית לעין שתוקף לא יכול לנצל אותו מרחוק.

הערכה לא נכונה

אבל החוקרים שבאמת גילו ודיווחו על הפגם לאורקל אינם מסכימים עם אפיון הפגיעות של החברה וכינו אותו לא נכון.

בפוסט בבלוג, החוקרים - מחברת ניהול משטח התקפות Assetnote ושני ארגונים נוספים - אמרו שהם השיגו ביצוע קוד מרחוק מראש אימות שימוש בבאג בעת השתתפות באירוע פריצה חי בשנה שעברה. החוקרים תיארו את היעד באותו אירוע כאחד מאתרי הנופש הגדולים בארה"ב.

"הפגיעות הזו אינה דורשת שום אימות לניצול, למרות מה שאורקל טוענת", אמר Shubham Shah, מייסד שותף ו-CTO של Assetnote, בפוסט בבלוג השבוע. "לפגיעות זו צריכה להיות ציון CVSS של 10.0."

אורקל לא הגיבה לבקשת Dark Reading לפרשנות על הערכת החוקרים לגבי הפגיעות.

אורקל אופרה, הידועה גם בשם מיקרוס אופרה, היא מערכת ניהול נכסים בה משתמשים בתי מלון ורשתות בתי מלון ברחבי העולם לניהול מרכזי של הזמנות, שירותי אורחים, הנהלת חשבונות ופעולות אחרות. בין לקוחותיה נמנים רשתות גדולות כמו Wyndham Group, Radisson Hotels, Accor Hotels, Marriott ו-IHG.

תוקפים המנצלים את התוכנה יכולים לקבל גישה למידע אישי מזהה, נתוני כרטיסי אשראי ומידע רגיש אחר השייך לאורחים. CVE-2023-21932 קיים בגרסה 5.6 של פלטפורמת Opera 5 Property Services.

אורקל אמרה כי הפגיעות מאפשרת לתוקפים המנצלים אותה להגיע לכל הנתונים שאליהם יש ל-Opera 5 Property Services גישה. זה גם יאפשר לתוקפים לעדכן, להכניס או למחוק גישה לפחות לחלק מהנתונים במערכת.

באג סדר פעולות

שאה, צייד באגים בפלטפורמת HackerOne, גילה את הפגיעות בזמן שביצע ניתוח קוד מקור של Opera בשיתוף עם שון יאו, מוביל הנדסה ב-Assetnote, ברנדן סקארוול, בודק עט ב-PwC אוסטרליה, וג'ייסון הדיקס, CISO אצל היריב. חברת האמולציה BuddoBot.

שאה והחוקרים האחרים זיהו את CVE-2023-21932 כקשור לקטע קוד אופרה לחיטוי מטען מוצפן עבור שני משתנים ספציפיים, ואז מפענח אותו, במקום לעשות זאת הפוך. סוג זה של באג "סדר פעולות" נותן לתוקפים דרך להגניב כל מטען דרך המשתנים מבלי שיתרחש חיטוי, אמרו החוקרים.

"באגים בסדר פעולות הם באמת נדירים, והבאג הזה הוא דוגמה מאוד ברורה למחלקת הבאגים הזו," שאה צייץ בטוויטר השבוע.

"הצלחנו למנף את הבאג הזה כדי לקבל גישה לאחד מאתרי הנופש הגדולים בארה"ב, לאירוע פריצה חי".

החוקרים תיארו את הצעדים שהם נקטו כדי להתגבר על בקרות ספציפיות ב-Opera כדי להשיג ביצוע אימות מראש, וציינו שאף אחד מהם לא דרש גישה או ידע מיוחד על התוכנה.

"כל השלבים שבוצעו בניצול הפגיעות הזו היו ללא כל אימות", הם כתבו. הם טענו שאורקל לקח כמעט שנה שלמה לשחרר את הבאג לאחר שקיבלה הודעה על כך.

בתגובה לבלוג Assetnote, חוקר האבטחה קווין ביומונט אמר שיש כמה שאילתות שודאן שהתוקף יכול להשתמש בהן כדי למצוא מלונות וישויות אחרות המשתמשות באופרה. ביומונט אמר שכל נכס שהוא מצא דרך שודן לא תוקן נגד הפגם. "באיזשהו שלב, אנחנו צריכים לדבר על אבטחת המוצר של אורקל," אמר בומונט.

לפי שאה והחוקרים האחרים, CVE-2023-21932 הוא רק אחד מני פגמים רבים ב-Oracle Opera - לפחות בחלקם החברה לא טיפלה. "בבקשה אל תחשוף את זה לאינטרנט, לעולם", הם כתבו.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
• הטבעת העתיד עם אדריאן אשלי. גישה כאן.
• מקור: https://www.darkreading.com/application-security/hotels-at-risk-from-bug-in-oracle-property-management-software