De tusentals hotell och andra enheter i besöksnäringen världen över som använder Oracles fastighetshanteringssystem Opera kanske vill korrigera ett fel i programvaran som Oracle avslöjade i sin säkerhetsuppdatering från april 2023.
Oracle har beskrivit sårbarheten (CVE-2023-21932) som en komplex bugg i produkten Oracle Hospitality Opera 5 Property Services som endast en autentiserad angripare med högt privilegierad åtkomst kan utnyttja. Säljaren tilldelade den en måttlig svårighetsgrad på 7.2 på CVSS-skalan baserat bland annat på det uppenbara faktum att en angripare inte kunde utnyttja den på distans.
Felaktig bedömning
Men forskarna som faktiskt upptäckte och rapporterade felet till Oracle håller inte med om företagets karaktärisering av sårbarheten och kallar den felaktig.
I ett blogginlägg sa forskarna – från attack ytahanteringsföretaget Assetnote och två andra organisationer – att de hade uppnått exekvering av fjärrkod för förautentisering använda buggen när du deltog i ett live-hacking-evenemang förra året. Forskarna beskrev målet i den händelsen som en av de största orterna i USA.
"Denna sårbarhet kräver ingen autentisering för att utnyttja, trots vad Oracle hävdar," sa Shubham Shah, medgrundare och CTO för Assetnote, i ett blogginlägg denna vecka. "Denna sårbarhet bör ha ett CVSS-poäng på 10.0."
Oracle svarade inte på en Dark Reading-förfrågan om kommentarer till forskarnas bedömning av sårbarheten.
Oracle Opera, även känt som Micros Opera, är ett fastighetsförvaltningssystem som hotell och hotellkedjor världen över använder för att centralt hantera bokningar, gästtjänster, redovisning och annan verksamhet. Bland kunderna finns stora kedjor som Wyndham Group, Radisson Hotels, Accor Hotels, Marriott och IHG.
Angripare som utnyttjar programvaran kan potentiellt få tillgång till personligt identifierbar information, kreditkortsdata och annan känslig information som tillhör gäster. CVE-2023-21932 finns i version 5.6 av Opera 5 Property Services-plattformen.
Oracle sa att sårbarheten tillåter angripare som utnyttjar den att nå all data som Opera 5 Property Services har tillgång till. Det skulle också låta angripare uppdatera, infoga eller ta bort åtkomst till åtminstone en del av data i systemet.
En ordningsfel
Shah, en buggjägare på HackerOne-plattformen, upptäckte sårbarheten när han genomförde en källkodsanalys av Opera i samarbete med Sean Yeoh, ingenjörschef på Assetnote, Brendan Scarvell, en penntestare med PwC Australia, och Jason Haddix, CISO på motståndaren emuleringsföretaget BuddoBot.
Shah och de andra forskarna identifierade att CVE-2023-21932 hade att göra med att ett Opera-kodsegment sanerade en krypterad nyttolast för två specifika variabler och sedan dekrypterar den istället för att göra det tvärtom. Den här typen av en "operationsordning"-bugg ger angripare ett sätt att smyga in någon nyttolast via variablerna utan att någon sanering sker, sa forskarna.
"Buggar i ordningsföljden är verkligen sällsynta, och denna bugg är ett mycket tydligt exempel på denna buggklass," Shah twittrade denna vecka.
"Vi kunde utnyttja denna bugg för att få tillgång till en av de största orterna i USA, för ett live-hackingevenemang."
Forskarna beskrev de steg de tog för att övervinna specifika kontroller i Opera för att uppnå pre-autentiseringsexekvering, och noterade att ingen av dem krävde någon form av speciell åtkomst eller kunskap om programvaran.
"Alla steg som utfördes i utnyttjandet av denna sårbarhet var utan någon autentisering", skrev de. De hävdade att Oracle tog nästan ett helt år att släppa felet efter att ha blivit underrättat om det.
Som svar på Assetnote-bloggen sa säkerhetsforskaren Kevin Beaumont att det fanns flera Shodan-frågor som en angripare kan använda för att hitta hotell och andra enheter som använder Opera. Beaumont sa att varje egendom han hittade via Shodan var olappad mot felet. "I något skede måste vi prata om Oracle-produktsäkerhet," sa Beaumont.
Enligt Shah och de andra forskarna är CVE-2023-21932 bara en av många brister i Oracle Opera - åtminstone några av dem har företaget inte åtgärdat. "Snälla, utsätt aldrig detta för Internet, någonsin," skrev de.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Minting the Future med Adryenn Ashley. Tillgång här.
- Källa: https://www.darkreading.com/application-security/hotels-at-risk-from-bug-in-oracle-property-management-software
- : har
- :är
- :inte
- 10
- 2023
- 7
- a
- Able
- Om oss
- om det
- tillgång
- Redovisning
- Uppnå
- uppnås
- faktiskt
- Efter
- mot
- Alla
- tillåter
- också
- bland
- an
- analys
- och
- vilken som helst
- skenbar
- April
- ÄR
- runt
- AS
- bedömning
- delad
- At
- attackera
- Australien
- authenticated
- Autentisering
- baserat
- Där vi får lov att vara utan att konstant prestera,
- störst
- Blogg
- Bug
- fel
- kallas
- KAN
- kortet
- kedjor
- CISO
- hävdade
- hävdar
- klass
- klar
- Medgrundare
- koda
- samverkan
- företag
- komplex
- ledande
- kontroller
- kunde
- kredit
- kreditkort
- CTO
- Kunder
- mörkt
- Mörk läsning
- datum
- beskriven
- Trots
- DID
- upptäckt
- do
- gör
- gör
- krypterad
- Teknik
- enheter
- händelse
- NÅGONSIN
- Varje
- exempel
- utförande
- finns
- Exploit
- utnyttjande
- hitta
- Firm
- fel
- brister
- För
- hittade
- från
- full
- Få
- ger
- Grupp
- Gäst
- gäster
- hacking
- hade
- Happening
- Har
- har
- he
- höggradigt
- gästfrihet
- hotell
- hotell
- HTTPS
- identifierade
- in
- innefattar
- industrin
- informationen
- istället
- Internet
- IT
- DESS
- jpg
- bara
- bara en
- Snäll
- kunskap
- känd
- största
- Efternamn
- Förra året
- leda
- t minst
- Låt
- Hävstång
- lever
- större
- hantera
- ledning
- många
- kanske
- Behöver
- NIST
- of
- on
- ONE
- endast
- Opera
- Verksamhet
- or
- orakel
- beställa
- organisationer
- Övriga
- skisse
- Övervinna
- deltagande
- Lappa
- Personligen
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- snälla du
- Inlägg
- potentiellt
- privilegierat
- Produkt
- egenskapen
- PWC
- sökfrågor
- snabbt
- SÄLLSYNT
- betyg
- nå
- Läsning
- verkligen
- frigöra
- avlägsen
- Rapporterad
- begära
- kräver
- Obligatorisk
- forskaren
- forskare
- Resorts
- Svara
- Risk
- s
- Nämnda
- Skala
- göra
- sean
- säkerhet
- segmentet
- känslig
- Tjänster
- flera
- skall
- smyga
- Mjukvara
- några
- speciell
- specifik
- Etapp
- Steg
- sådana
- yta
- system
- Diskussion
- Målet
- den där
- Smakämnen
- Dem
- sedan
- Där.
- de
- saker
- detta
- denna vecka
- tusentals
- till
- tog
- två
- Typ
- Uppdatering
- us
- användning
- med hjälp av
- leverantör
- version
- mycket
- via
- sårbarhet
- vill
- var
- Sätt..
- we
- vecka
- były
- Vad
- när
- som
- medan
- VEM
- med
- utan
- inom hela sverige
- skulle
- år
- zephyrnet
