Hotéis em risco de bug no Oracle Property Management Software

Os milhares de hotéis e outras entidades da indústria hoteleira em todo o mundo que utilizam o sistema de gestão de propriedades Opera da Oracle podem querer corrigir rapidamente uma falha no software que a Oracle divulgou na sua atualização de segurança de abril de 2023.

A Oracle descreveu a vulnerabilidade (CVE-2023-21932) como um bug complexo no produto Oracle Hospitality Opera 5 Property Services que somente um invasor autenticado com acesso altamente privilegiado poderia explorar. O fornecedor atribuiu-lhe uma classificação de gravidade moderada de 7.2 na escala CVSS, com base, entre outras coisas, no facto aparente de que um atacante não poderia explorá-lo remotamente.

Avaliação incorreta

Mas os pesquisadores que realmente descobriram e relataram a falha à Oracle discordam da caracterização da vulnerabilidade feita pela empresa e a consideraram incorreta.

Em uma postagem no blog, os pesquisadores – da empresa de gerenciamento de superfície de ataque Assetnote e de duas outras organizações – disseram ter alcançado execução remota de código de pré-autenticação usando o bug ao participar de um evento de hacking ao vivo no ano passado. Os pesquisadores descreveram o alvo daquele evento como um dos maiores resorts dos EUA.

“Essa vulnerabilidade não requer nenhuma autenticação para ser explorada, apesar do que a Oracle afirma”, disse Shubham Shah, cofundador e CTO da Assetnote, em uma postagem no blog esta semana. “Esta vulnerabilidade deve ter uma pontuação CVSS de 10.0.”

A Oracle não respondeu a um pedido da Dark Reading para comentar a avaliação da vulnerabilidade pelos pesquisadores.

Oracle Opera, também conhecido como Micros Opera, é um sistema de gerenciamento de propriedades que hotéis e redes hoteleiras em todo o mundo usam para gerenciar centralmente reservas, serviços aos hóspedes, contabilidade e outras operações. Seus clientes incluem grandes redes como Wyndham Group, Radisson Hotels, Accor Hotels, Marriott e IHG.

Os invasores que exploram o software podem obter acesso a informações de identificação pessoal, dados de cartão de crédito e outras informações confidenciais pertencentes aos hóspedes. CVE-2023-21932 existe na versão 5.6 da plataforma Opera 5 Property Services.

A Oracle disse que a vulnerabilidade permite que os invasores que a exploram acessem todos os dados aos quais o Opera 5 Property Services tem acesso. Também permitiria que os invasores atualizassem, inserissem ou excluíssem o acesso a pelo menos alguns dos dados do sistema.

Um bug na ordem de operações

Shah, um caçador de bugs na plataforma HackerOne, descobriu a vulnerabilidade enquanto conduzia uma análise do código-fonte do Opera em colaboração com Sean Yeoh, líder de engenharia da Assetnote, Brendan Scarvell, pen tester da PwC Australia, e Jason Haddix, CISO da Adversary empresa de emulação BuddoBot.

Shah e os outros pesquisadores identificaram CVE-2023-21932 como tendo a ver com um segmento de código do Opera que limpa uma carga criptografada para duas variáveis ​​específicas e, em seguida, descriptografa-a, em vez de fazer o contrário. Esse tipo de bug de “ordem de operações” oferece aos invasores uma maneira de inserir qualquer carga útil por meio das variáveis, sem que ocorra qualquer higienização, disseram os pesquisadores.

“Bugs de ordem de operações são realmente raros, e esse bug é um exemplo muito claro dessa classe de bug,” Xá twittou esta semana.

“Conseguimos aproveitar esse bug para obter acesso a um dos maiores resorts dos EUA, para um evento de hacking ao vivo.”

Os pesquisadores descreveram as etapas que seguiram para superar controles específicos do Opera para conseguir a execução da pré-autenticação, observando que nenhuma delas exigia qualquer tipo de acesso especial ou conhecimento do software.

“Todas as etapas realizadas na exploração desta vulnerabilidade foram realizadas sem qualquer autenticação”, escreveram. Eles alegaram que a Oracle levou quase um ano para liberar o bug depois de ser notificada sobre isso.

Respondendo ao blog Assetnote, o pesquisador de segurança Kevin Beaumont disse que havia várias consultas Shodan que um invasor poderia usar para encontrar hotéis e outras entidades usando o Opera. Beaumont disse que todas as propriedades que encontrou através do Shodan não foram corrigidas contra a falha. “Em algum momento, precisaremos falar sobre a segurança dos produtos Oracle”, Beaumont disse.

De acordo com Shah e outros pesquisadores, CVE-2023-21932 é apenas uma das muitas falhas do Oracle Opera – pelo menos algumas das quais a empresa não corrigiu. “Por favor, nunca exponha isso à Internet”, escreveram eles.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
• Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
• Fonte: https://www.darkreading.com/application-security/hotels-at-risk-from-bug-in-oracle-property-management-software