De duizenden hotels en andere entiteiten in de horecasector over de hele wereld die het vastgoedbeheersysteem Opera van Oracle gebruiken, willen misschien snel een fout in de software repareren die Oracle in de beveiligingsupdate van april 2023 heeft onthuld.
Oracle heeft de kwetsbaarheid beschreven (CVE-2023-21932) als een complexe bug in het Oracle Hospitality Opera 5 Property Services-product die alleen een geverifieerde aanvaller met zeer bevoorrechte toegang kan misbruiken. De leverancier heeft het een gematigde ernstbeoordeling van 7.2 op de CVSS-schaal toegekend, onder meer gebaseerd op het schijnbare feit dat een aanvaller het niet op afstand kan misbruiken.
Onjuiste beoordeling
Maar de onderzoekers die de fout feitelijk ontdekten en aan Oracle rapporteerden, zijn het niet eens met de karakterisering van de kwetsbaarheid door het bedrijf en noemden deze onjuist.
In een blogpost zeiden de onderzoekers โ van het aanvalsbeheerbedrijf Assetnote en twee andere organisaties โ dat ze dit hadden bereikt pre-authenticatie uitvoering van externe code gebruik van de bug tijdens deelname aan een live hackevenement vorig jaar. De onderzoekers beschreven het doelwit in dat geval als een van de grootste resorts in de VS.
โDeze kwetsbaarheid vereist geen enkele authenticatie om te kunnen misbruiken, ondanks wat Oracle beweertโ, zei Shubham Shah, medeoprichter en CTO van Assetnote, deze week in een blogpost. โDeze kwetsbaarheid zou een CVSS-score van 10.0 moeten hebben.โ
Oracle reageerde niet op een verzoek van Dark Reading om commentaar op de beoordeling van de kwetsbaarheid door de onderzoekers.
Oracle Opera, ook bekend als Micros Opera, is een vastgoedbeheersysteem dat hotels en hotelketens wereldwijd gebruiken om reserveringen, gastenservices, boekhouding en andere handelingen centraal te beheren. Tot de klanten behoren grote ketens zoals de Wyndham Group, Radisson Hotels, Accor Hotels, Marriott en IHG.
Aanvallers die de software misbruiken, kunnen mogelijk toegang krijgen tot persoonlijk identificeerbare informatie, creditcardgegevens en andere gevoelige informatie van gasten. CVE-2023-21932 bestaat in versie 5.6 van het Opera 5 Property Services-platform.
Oracle zei dat de kwetsbaarheid aanvallers die er misbruik van maken in staat stelt om toegang te krijgen tot alle gegevens waartoe Opera 5 Property Services toegang heeft. Het zou aanvallers ook de mogelijkheid bieden om de toegang tot ten minste een deel van de gegevens in het systeem bij te werken, in te voegen of te verwijderen.
Een Order of Operations-bug
Shah, een bugjager op het HackerOne-platform, ontdekte de kwetsbaarheid tijdens het uitvoeren van een broncodeanalyse van Opera in samenwerking met Sean Yeoh, engineering lead bij Assetnote, Brendan Scarvell, een pentester bij PwC Australia, en Jason Haddix, CISO bij tegenstander emulatiebedrijf BuddoBot.
Shah en de andere onderzoekers hebben vastgesteld dat CVE-2023-21932 te maken heeft met een Opera-codesegment dat een gecodeerde lading opschoont voor twee specifieke variabelen en deze vervolgens ontsleutelt, in plaats van het andersom te doen. Dit type โorder of operationsโ-bug geeft aanvallers een manier om via de variabelen elke lading binnen te sluipen zonder dat er enige opschoning plaatsvindt, aldus de onderzoekers.
"Bugs in de volgorde van bewerkingen zijn echt zeldzaam, en deze bug is een heel duidelijk voorbeeld van deze bugklasse," Sjah tweette deze week.
โWe hebben deze bug kunnen benutten om toegang te krijgen tot een van de grootste resorts in de VS, voor een live hackevenement.โ
De onderzoekers schetsten de stappen die ze namen om specifieke controles in Opera te omzeilen om pre-authenticatie-uitvoering te bewerkstelligen, en merkten op dat geen van deze enige vorm van speciale toegang of kennis van de software vereiste.
โAlle stappen die werden uitgevoerd bij het misbruiken van dit beveiligingslek waren zonder enige authenticatieโ, schreven ze. Ze beweerden dat Oracle er bijna een heel jaar over deed om de bug vrij te geven nadat ze erover op de hoogte waren gesteld.
In reactie op de Assetnote-blog zei beveiligingsonderzoeker Kevin Beaumont dat er verschillende Shodan-query's zijn die een aanvaller kan gebruiken om hotels en andere entiteiten te vinden met behulp van Opera. Beaumont zei dat elk eigendom dat hij via Shodan vond, niet was gerepareerd tegen de fout. โOp een gegeven moment moeten we praten over de productbeveiliging van Oracle,โ zei Beaumont.
Volgens Shah en de andere onderzoekers is CVE-2023-21932 slechts een van de vele tekortkomingen in Oracle Opera โ waarvan het bedrijf tenminste enkele niet heeft aangepakt. โPlaats dit alsjeblieft nooit op internetโ, schreven ze.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Bron: https://www.darkreading.com/application-security/hotels-at-risk-from-bug-in-oracle-property-management-software
- : heeft
- :is
- :niet
- 10
- 2023
- 7
- a
- in staat
- Over
- over het
- toegang
- Accounting
- Bereiken
- bereikt
- werkelijk
- Na
- tegen
- Alles
- toestaat
- ook
- onder
- an
- analyse
- en
- elke
- schijnbaar
- April
- ZIJN
- rond
- AS
- beoordeling
- toegewezen
- At
- aanvallen
- Australiรซ
- geverifieerd
- authenticatie
- gebaseerde
- wezen
- Grootste
- Blog
- Bug
- bugs
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- CAN
- kaart
- ketens
- CISO
- beweerde
- vorderingen
- klasse
- duidelijk
- Mede-oprichter
- code
- samenwerking
- afstand
- complex
- uitvoeren
- controles
- kon
- Credits
- creditkaart
- CTO
- Klanten
- Donker
- Donkere lezing
- gegevens
- beschreven
- Niettegenstaande
- DEED
- ontdekt
- do
- doet
- doen
- versleutelde
- Engineering
- entiteiten
- Event
- OOIT
- Alle
- voorbeeld
- uitvoering
- bestaat
- Exploiteren
- exploitatie
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Stevig
- fout
- gebreken
- Voor
- gevonden
- oppompen van
- vol
- Krijgen
- geeft
- Groep
- Gast
- gasten
- hacking
- HAD
- Happening
- Hebben
- met
- he
- zeer
- hospitality
- hotel
- hotels
- HTTPS
- geรฏdentificeerd
- in
- omvatten
- -industrie
- informatie
- verkrijgen in plaats daarvan
- Internet
- IT
- HAAR
- jpg
- voor slechts
- eentje maar
- Soort
- kennis
- bekend
- grootste
- Achternaam*
- Afgelopen jaar
- leiden
- minst
- laten
- Hefboomwerking
- leven
- groot
- beheer
- management
- veel
- macht
- Noodzaak
- NIST
- of
- on
- EEN
- Slechts
- Opera
- Operations
- or
- orakel
- bestellen
- organisaties
- Overige
- geschetst
- Overwinnen
- deelnemende
- Patch
- Persoonlijk
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- dan
- Post
- mogelijk
- bevoorrecht
- Product
- eigendom
- PWC
- queries
- snel
- BIJZONDER
- waardering
- bereiken
- lezing
- werkelijk
- los
- vanop
- gemeld
- te vragen
- vereisen
- nodig
- onderzoeker
- onderzoekers
- Resorts
- Reageren
- Risico
- s
- Zei
- Scale
- partituur
- Sean
- veiligheid
- segment
- gevoelig
- Diensten
- verscheidene
- moet
- sluipen
- Software
- sommige
- special
- specifiek
- Stadium
- Stappen
- dergelijk
- Oppervlak
- system
- Talk
- doelwit
- dat
- De
- Ze
- harte
- Er.
- ze
- spullen
- dit
- deze week
- duizenden kosten
- naar
- nam
- twee
- type dan:
- bijwerken
- us
- .
- gebruik
- verkoper
- versie
- zeer
- via
- kwetsbaarheid
- willen
- was
- Manier..
- we
- week
- waren
- Wat
- wanneer
- welke
- en
- WIE
- Met
- zonder
- wereldwijd
- zou
- jaar
- zephyrnet
