اوریکل پراپرٹی مینجمنٹ سوفٹ ویئر میں بگ سے خطرے میں ہوٹل

اوریکل کے اوپیرا پراپرٹی مینجمنٹ سسٹم کا استعمال کرتے ہوئے دنیا بھر میں مہمان نوازی کی صنعت میں ہزاروں ہوٹل اور دیگر ادارے شاید اس سافٹ ویئر میں ایک خامی کو فوری طور پر دور کرنا چاہتے ہیں جس کا انکشاف Oracle نے اپنی اپریل 2023 سیکیورٹی اپ ڈیٹ میں کیا تھا۔

اوریکل نے کمزوری کو بیان کیا ہے (CVE-2023-21932) Oracle Hospitality Opera 5 Property Services پروڈکٹ میں ایک پیچیدہ بگ کے طور پر جس کا فائدہ صرف انتہائی مراعات یافتہ رسائی کے ساتھ ایک مستند حملہ آور ہی کر سکتا ہے۔ وینڈر نے اسے CVSS اسکیل پر 7.2 کی اعتدال پسند شدت کی درجہ بندی تفویض کی ہے جس کی بنیاد دیگر چیزوں کے ساتھ اس ظاہری حقیقت پر ہے کہ حملہ آور دور سے اس کا فائدہ نہیں اٹھا سکتا ہے۔

غلط تشخیص

لیکن محققین جنہوں نے حقیقت میں اوریکل کو اس خامی کو دریافت کیا اور اس کی اطلاع دی وہ کمپنی کی کمزوری کی خصوصیت سے متفق نہیں ہیں اور اسے غلط قرار دیا۔

ایک بلاگ پوسٹ میں، محققین – اٹیک سرفیس مینجمنٹ فرم Assetnote اور دو دیگر تنظیموں کے – نے کہا کہ انہوں نے کامیابی حاصل کی ہے۔ پہلے سے توثیق ریموٹ کوڈ پر عمل درآمد پچھلے سال لائیو ہیکنگ ایونٹ میں شرکت کرتے وقت بگ کا استعمال۔ محققین نے اس واقعہ میں ہدف کو امریکہ کے سب سے بڑے ریزورٹس میں سے ایک قرار دیا۔

"اوریکل کے دعووں کے باوجود، اس خطرے سے فائدہ اٹھانے کے لیے کسی توثیق کی ضرورت نہیں ہے،" شبھم شاہ، Assetnote کے شریک بانی اور CTO نے اس ہفتے ایک بلاگ پوسٹ میں کہا۔ "اس خطرے کا CVSS سکور 10.0 ہونا چاہیے۔"

اوریکل نے خطرے کے بارے میں محققین کے جائزے پر تبصرہ کے لیے ڈارک ریڈنگ کی درخواست کا جواب نہیں دیا۔

Oracle Opera، جسے Micros Opera بھی کہا جاتا ہے، ایک پراپرٹی مینجمنٹ سسٹم ہے جسے دنیا بھر میں ہوٹلز اور ہوٹل چینز مرکزی طور پر ریزرویشنز، مہمانوں کی خدمات، اکاؤنٹنگ اور دیگر کاموں کا انتظام کرنے کے لیے استعمال کرتے ہیں۔ اس کے صارفین میں بڑی زنجیریں شامل ہیں جیسے ونڈھم گروپ، ریڈیسن ہوٹلز، ایکور ہوٹلز، میریٹ، اور آئی ایچ جی۔

سافٹ ویئر کا استحصال کرنے والے حملہ آور ممکنہ طور پر ذاتی طور پر قابل شناخت معلومات، کریڈٹ کارڈ ڈیٹا، اور مہمانوں سے تعلق رکھنے والی دیگر حساس معلومات تک رسائی حاصل کر سکتے ہیں۔ CVE-2023-21932 Opera 5.6 Property Services پلیٹ فارم کے ورژن 5 میں موجود ہے۔

اوریکل نے کہا کہ کمزوری حملہ آوروں کو اجازت دیتی ہے جو اس کا استحصال کرتے ہیں وہ تمام ڈیٹا تک پہنچ سکتے ہیں جس میں اوپیرا 5 پراپرٹی سروسز کو رسائی حاصل ہے۔ یہ حملہ آوروں کو سسٹم میں کم از کم کچھ ڈیٹا تک رسائی کو اپ ڈیٹ کرنے، داخل کرنے یا حذف کرنے کی اجازت دے گا۔

ایک آرڈر آف آپریشنز بگ

شاہ، HackerOne پلیٹ فارم پر ایک بگ ہنٹر، نے Sean Yeoh، Assetnote میں انجینئرنگ لیڈ، PwC آسٹریلیا کے ساتھ قلم ٹیسٹر برینڈن سکارویل، اور مخالف میں CISO، جیسن ہڈکس کے تعاون سے Opera کے سورس کوڈ کا تجزیہ کرتے ہوئے اس کمزوری کو دریافت کیا۔ ایمولیشن کمپنی BuddoBot.

شاہ اور دیگر محققین نے CVE-2023-21932 کی نشاندہی کی کہ اس کا تعلق اوپیرا کوڈ سیگمنٹ کے ساتھ دو مخصوص متغیرات کے لیے ایک انکرپٹڈ پے لوڈ کو صاف کرنا، اور پھر اسے دوسرے طریقے سے کرنے کے بجائے اسے ڈکرپٹ کرنا ہے۔ محققین نے کہا کہ اس قسم کا "آرڈر آف آپریشنز" بگ حملہ آوروں کو بغیر کسی صفائی ستھرائی کے متغیر کے ذریعے کسی بھی پے لوڈ میں چھپنے کا راستہ فراہم کرتا ہے۔

"آرڈر آف آپریشن بگز واقعی نایاب ہیں، اور یہ بگ اس بگ کلاس کی ایک بہت واضح مثال ہے،" شاہ نے ٹویٹ کیا۔ اس ہفتے.

"ہم لائیو ہیکنگ ایونٹ کے لیے امریکہ کے سب سے بڑے ریزورٹس میں سے ایک تک رسائی حاصل کرنے کے لیے اس مسئلے کا فائدہ اٹھانے میں کامیاب ہو گئے۔"

محققین نے اوپیرا میں مخصوص کنٹرولز پر قابو پانے کے لیے کیے گئے اقدامات کا خاکہ پیش کیا تاکہ پہلے سے توثیق کے عمل کو حاصل کیا جا سکے، یہ نوٹ کرتے ہوئے کہ ان میں سے کسی کو بھی سافٹ ویئر تک کسی قسم کی خصوصی رسائی یا علم کی ضرورت نہیں ہے۔

انہوں نے لکھا، "اس خطرے کے استحصال میں کیے گئے تمام اقدامات بغیر کسی تصدیق کے تھے۔ انہوں نے دعویٰ کیا کہ اوریکل کو اس کے بارے میں مطلع کیے جانے کے بعد اس مسئلے کو جاری کرنے میں تقریباً پورا سال لگا۔

Assetnote بلاگ کا جواب دیتے ہوئے، سیکورٹی محقق کیون بیومونٹ نے کہا کہ شوڈن کے کئی سوالات ہیں جو حملہ آور اوپیرا کا استعمال کرتے ہوئے ہوٹلوں اور دیگر اداروں کو تلاش کرنے کے لیے استعمال کر سکتا ہے۔ بیومونٹ نے کہا کہ شوڈن کے ذریعے جو بھی جائیداد ملی وہ اس خامی کے خلاف بے مثال تھی۔ "کسی مرحلے پر، ہمیں اوریکل پروڈکٹ سیکیورٹی کے بارے میں بات کرنے کی ضرورت ہے،" بیومونٹ نے کہا.

شاہ اور دیگر محققین کے مطابق، CVE-2023-21932 Oracle Opera کی بہت سی خامیوں میں سے ایک ہے - کم از کم جن میں سے کچھ کو کمپنی نے دور نہیں کیا ہے۔ "براہ کرم اسے کبھی بھی انٹرنیٹ پر بے نقاب نہ کریں،" انہوں نے لکھا۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/application-security/hotels-at-risk-from-bug-in-oracle-property-management-software