Hotele zagrożone błędami w oprogramowaniu Oracle Property Management

Tysiące hoteli i innych podmiotów z branży hotelarskiej na całym świecie korzystających z systemu zarządzania obiektami Oracle Opera może chcieć szybko załatać lukę w oprogramowaniu, którą Oracle ujawniła w swojej aktualizacji zabezpieczeń z kwietnia 2023 r.

Firma Oracle opisała lukę (CVE-2023-21932) jako złożony błąd w produkcie Oracle Hospitality Opera 5 Property Services, który mógł wykorzystać tylko uwierzytelniony atakujący z wysoce uprzywilejowanym dostępem. Sprzedawca przyznał mu umiarkowaną ocenę ważności 7.2 w skali CVSS, między innymi na podstawie widocznego faktu, że osoba atakująca nie może wykorzystać go zdalnie.

Nieprawidłowa ocena

Jednak badacze, którzy faktycznie odkryli i zgłosili lukę firmie Oracle, nie zgadzają się z charakterystyką luki firmy i nazwali ją błędną.

W poście na blogu badacze — z firmy zarządzającej powierzchnią ataku Assetnote i dwóch innych organizacji — stwierdzili, że osiągnęli cel zdalne wykonanie kodu przed uwierzytelnieniem używając błędu podczas udziału w imprezie hakerskiej na żywo w zeszłym roku. Badacze opisali cel tego zdarzenia jako jeden z największych kurortów w USA.

„Ta luka w zabezpieczeniach nie wymaga żadnego uwierzytelnienia, aby ją wykorzystać, pomimo tego, co twierdzi Oracle”, powiedział Shubham Shah, współzałożyciel i CTO Assetnote, w poście na blogu w tym tygodniu. „Ta luka powinna mieć wynik CVSS równy 10.0”.

Firma Oracle nie odpowiedziała na prośbę Dark Reading o komentarz na temat oceny luki przez badaczy.

Oracle Opera, znany również jako Micros Opera, to system zarządzania obiektami, którego używają hotele i sieci hotelowe na całym świecie do centralnego zarządzania rezerwacjami, obsługą gości, księgowością i innymi operacjami. Do jej klientów należą duże sieci, takie jak Wyndham Group, Radisson Hotels, Accor Hotels, Marriott i IHG.

Atakujący, którzy wykorzystują to oprogramowanie, mogą potencjalnie uzyskać dostęp do danych osobowych, danych kart kredytowych i innych poufnych informacji należących do gości. CVE-2023-21932 istnieje w wersji 5.6 platformy Opera 5 Property Services.

Oracle powiedział, że luka umożliwia atakującym, którzy ją wykorzystują, dostęp do wszystkich danych, do których ma dostęp Opera 5 Property Services. Pozwoliłoby to również atakującym aktualizować, wstawiać lub usuwać dostęp do przynajmniej niektórych danych w systemie.

Błąd dotyczący rozkazu operacji

Shah, łowca błędów na platformie HackerOne, odkrył lukę podczas przeprowadzania analizy kodu źródłowego Opery we współpracy z Seanem Yeohem, kierownikiem inżynierii w Assetnote, Brendanem Scarvellem, testerem pióra w PwC Australia, oraz Jasonem Haddixem, CISO w Adversary emulator firmy BuddoBot.

Shah i inni badacze zidentyfikowali CVE-2023-21932 jako mający związek z segmentem kodu Opery oczyszczającym zaszyfrowany ładunek dla dwóch określonych zmiennych, a następnie go odszyfrowującym, zamiast robić to na odwrót. Naukowcy stwierdzili, że ten rodzaj błędu „kolejności operacji” daje atakującym sposób na przemycenie dowolnego ładunku za pośrednictwem zmiennych bez przeprowadzania sanityzacji.

„Błędy kolejności operacji są naprawdę rzadkie, a ten błąd jest bardzo wyraźnym przykładem tej klasy błędów” Shah napisał na Twitterze w tym tygodniu.

„Udało nam się wykorzystać ten błąd, aby uzyskać dostęp do jednego z największych kurortów w USA na wydarzenie hakerskie na żywo”.

Badacze przedstawili kroki, które podjęli, aby obejść określone kontrole w Operze, aby osiągnąć wykonanie przed uwierzytelnieniem, zauważając, że żadne z nich nie wymagało żadnego specjalnego dostępu ani znajomości oprogramowania.

„Wszystkie kroki wykonane w celu wykorzystania tej luki były bez żadnego uwierzytelnienia” – napisali. Twierdzili, że Oracle zajęło prawie cały rok, aby zwolnić błąd po otrzymaniu powiadomienia o nim.

Odpowiadając na blogu Assetnote, badacz bezpieczeństwa Kevin Beaumont powiedział, że istnieje kilka zapytań Shodan, których atakujący może użyć do znalezienia hoteli i innych podmiotów korzystających z Opery. Beaumont powiedział, że każda nieruchomość, którą znalazł za pośrednictwem Shodan, nie była naprawiona pod kątem luki. „Na pewnym etapie musimy porozmawiać o bezpieczeństwie produktów Oracle” — powiedział Beaumont.

Według Shaha i innych badaczy luka CVE-2023-21932 to tylko jedna z wielu luk w Oracle Opera — przynajmniej niektórych z nich firma nie rozwiązała. „Proszę, nigdy nie ujawniajcie tego w Internecie” – napisali.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
• Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/hotels-at-risk-from-bug-in-oracle-property-management-software