De tusenvis av hoteller og andre enheter i gjestfrihetsbransjen over hele verden som bruker Oracles Opera-eiendomsadministrasjonssystem, vil kanskje raskt reparere en feil i programvaren som Oracle avslørte i sin sikkerhetsoppdatering fra april 2023.
Oracle har beskrevet sårbarheten (CVE-2023-21932) som en kompleks feil i Oracle Hospitality Opera 5 Property Services-produktet som bare en autentisert angriper med svært privilegert tilgang kan utnytte. Leverandøren tildelte den en moderat alvorlighetsgrad på 7.2 på CVSS-skalaen basert blant annet på det tilsynelatende faktum at en angriper ikke kunne utnytte den eksternt.
Feil vurdering
Men forskerne som faktisk oppdaget og rapporterte feilen til Oracle, er uenige i selskapets karakterisering av sårbarheten og kalte den feil.
I et blogginnlegg sa forskerne - fra angrepsoverflateadministrasjonsfirmaet Assetnote og to andre organisasjoner - at de hadde oppnådd forhåndsautentisering ekstern kjøring av kode bruker feilen når du deltar på et live hacking-arrangement i fjor. Forskerne beskrev målet i det tilfellet som et av de største feriestedene i USA.
"Denne sårbarheten krever ingen autentisering for å utnytte, til tross for det Oracle hevder," sa Shubham Shah, medgründer og CTO i Assetnote, i et blogginnlegg denne uken. "Denne sårbarheten bør ha en CVSS-score på 10.0."
Oracle svarte ikke på en Dark Reading-forespørsel om kommentarer til forskernes vurdering av sårbarheten.
Oracle Opera, også kjent som Micros Opera, er et eiendomsadministrasjonssystem som hoteller og hotellkjeder over hele verden bruker for sentralt å administrere reservasjoner, gjestetjenester, regnskap og annen drift. Kundene deres inkluderer store kjeder som Wyndham Group, Radisson Hotels, Accor Hotels, Marriott og IHG.
Angripere som utnytter programvaren kan potensielt få tilgang til personlig identifiserbar informasjon, kredittkortdata og annen sensitiv informasjon som tilhører gjester. CVE-2023-21932 finnes i versjon 5.6 av Opera 5 Property Services-plattformen.
Oracle sa at sårbarheten tillater angripere som utnytter den å nå alle data som Opera 5 Property Services har tilgang til. Det vil også la angripere oppdatere, sette inn eller slette tilgang til i det minste noen av dataene i systemet.
En operasjonsrekkefølgefeil
Shah, en feiljeger på HackerOne-plattformen, oppdaget sårbarheten mens han utførte en kildekodeanalyse av Opera i samarbeid med Sean Yeoh, ingeniørleder hos Assetnote, Brendan Scarvell, en pennetester hos PwC Australia, og Jason Haddix, CISO hos motstanderen emuleringsselskapet BuddoBot.
Shah og de andre forskerne identifiserte at CVE-2023-21932 hadde å gjøre med et Opera-kodesegment som renser en kryptert nyttelast for to spesifikke variabler, og deretter dekrypterer den, i stedet for å gjøre det omvendt. Denne typen "operasjonsrekkefølge"-feil gir angripere en måte å snike inn en hvilken som helst nyttelast via variablene uten at det skjer noen desinfisering, sa forskerne.
"Rekkefølgefeil er virkelig sjeldne, og denne feilen er et veldig tydelig eksempel på denne feilklassen," Shah tvitret denne uken.
"Vi var i stand til å utnytte denne feilen for å få tilgang til et av de største feriestedene i USA, for en live hacking-begivenhet."
Forskerne skisserte trinnene de tok for å overvinne spesifikke kontroller i Opera for å oppnå pre-autentiseringskjøring, og la merke til at ingen av dem krevde noen form for spesiell tilgang eller kunnskap om programvaren.
"Alle trinn som ble utført i utnyttelsen av dette sikkerhetsproblemet var uten noen autentisering," skrev de. De hevdet at Oracle tok nesten et helt år å slippe feilen etter å ha blitt varslet om den.
Som svar på Assetnote-bloggen sa sikkerhetsforsker Kevin Beaumont at det var flere Shodan-spørsmål en angriper kunne bruke for å finne hoteller og andre enheter som bruker Opera. Beaumont sa at hver eiendom han fant via Shodan var upatchet mot feilen. "På et tidspunkt må vi snakke om Oracle-produktsikkerhet," sa Beaumont.
I følge Shah og de andre forskerne er CVE-2023-21932 bare en av mange feil i Oracle Opera - i det minste noen som selskapet ikke har tatt tak i. "Vennligst ikke utsett dette for Internett, noen gang," skrev de.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- kilde: https://www.darkreading.com/application-security/hotels-at-risk-from-bug-in-oracle-property-management-software
- : har
- :er
- :ikke
- 10
- 2023
- 7
- a
- I stand
- Om oss
- om det
- adgang
- Regnskap og administrasjon
- Oppnå
- oppnådd
- faktisk
- Etter
- mot
- Alle
- tillater
- også
- blant
- an
- analyse
- og
- noen
- tilsynelatende
- April
- ER
- rundt
- AS
- evaluering
- tildelt
- At
- angripe
- Australia
- autentisert
- Autentisering
- basert
- være
- Biggest
- Blogg
- Bug
- bugs
- som heter
- CAN
- kort
- kjeder
- CISO
- hevdet
- krav
- klasse
- fjerne
- Med-grunnlegger
- kode
- samarbeid
- Selskapet
- komplekse
- gjennomføre
- kontroller
- kunne
- kreditt
- kredittkort
- CTO
- Kunder
- mørk
- Mørk lesning
- dato
- beskrevet
- Til tross for
- gJORDE
- oppdaget
- do
- gjør
- gjør
- kryptert
- Ingeniørarbeid
- enheter
- Event
- NOEN GANG
- Hver
- eksempel
- gjennomføring
- finnes
- Exploit
- utnytting
- Finn
- Firm
- feil
- feil
- Til
- funnet
- fra
- fullt
- Gevinst
- gir
- Gruppe
- Gjest
- gjester
- hacking
- HAD
- Skjer
- Ha
- å ha
- he
- svært
- gjestfrihet
- hotell
- hoteller
- HTTPS
- identifisert
- in
- inkludere
- industri
- informasjon
- i stedet
- Internet
- IT
- DET ER
- jpg
- bare
- bare én
- Type
- kunnskap
- kjent
- største
- Siste
- I fjor
- føre
- minst
- la
- Leverage
- leve
- større
- administrer
- ledelse
- mange
- kunne
- Trenger
- nst
- of
- on
- ONE
- bare
- Opera
- Drift
- or
- orakel
- rekkefølge
- organisasjoner
- Annen
- skissert
- Overcome
- deltakende
- patch
- personlig
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- vær så snill
- Post
- potensielt
- privilegert
- Produkt
- eiendom
- PWC
- spørsmål
- raskt
- SJELDEN
- vurdering
- å nå
- Lesning
- virkelig
- slipp
- fjernkontroll
- rapportert
- anmode
- krever
- påkrevd
- forsker
- forskere
- Resorts
- Svare
- Risiko
- s
- Sa
- Skala
- Resultat
- Sean
- sikkerhet
- segmentet
- sensitive
- Tjenester
- flere
- bør
- snike
- Software
- noen
- spesiell
- spesifikk
- Scene
- Steps
- slik
- overflaten
- system
- Snakk
- Target
- Det
- De
- Dem
- deretter
- Der.
- de
- ting
- denne
- denne uka
- tusener
- til
- tok
- to
- typen
- Oppdater
- us
- bruke
- ved hjelp av
- leverandør
- versjon
- veldig
- av
- sårbarhet
- ønsker
- var
- Vei..
- we
- uke
- var
- Hva
- når
- hvilken
- mens
- HVEM
- med
- uten
- verdensomspennende
- ville
- år
- zephyrnet
