安全公司ERPScan的研究员最近发现了一个SAP POS Xpress Server的漏洞,这个漏洞允许攻击者任意更改SAP销售点系统的配置文件和产品价格,还能收集消费者的银行卡数据。如果有黑客通过这个漏洞修改了MacBook Pro的价格,那么花6块钱(1美元)买到MacBook Pro也是极有可能的。 此外,即使POS系统采用气隙网络(air-gap network),攻击者只需要连接一个成本仅25美元的 Rasberry Pi,黑客就能找到系统开放端口执行恶意命令,修改产品价格并上传新的 SAP POS Xpress Server 配置文件,并重新启动 POS 服务器。 不过,令人担心的是,SAP的POS系统被约80%的全球2000强零售商运用,这些漏洞的修补显然要花上一段时间。 |
发表评论