Los ciberdelincuentes han encontrado un nuevo defecto de seguridad que pueden explotar para instalar malware POS en los sistemas de punto de venta de Oracle Micros. Oracle ya ha emitido actualizaciones para este problema. Sin embargo esto tomará meses hasta que el parche llegue a los sistemas POS afectados. De momento, los sistemas que no hayan sido actualizados, son vulnerables. En total se estima en más de 300.000.
Sistemas importantes para el negocio
La razón es que los sistemas POS son sistemas críticos para el negocio, y los administradores de sistemas raramente programan operaciones de mantenimiento y actualización. Todo ello por temor a que un parche inestable pueda causar más tiempo de inactividad y pérdidas financieras a sus empresas.
El error no es nada que se deba ignorar. Según Dmitry Chastuhin, el investigador de seguridad de ERPScan que descubrió el problema (conocido como CVE-2018-2636), la vulnerabilidad le permite a un atacante recolectar archivos de configuración de los sistemas Micros POS. Los datos recogidos se pueden usar para otorgar a los atacantes acceso total y legítimo al sistema POS y a los servicios adjuntos (base de datos, servidor).
En el escenario más común, lo más probable es que un atacante instale malware POS para recopilar detalles de la tarjeta de pago. Pero un atacante también podría instalar otros tipos de malware para espionaje corporativo y puntos finales de proxy para futuros ataques.
La vulnerabilidad se puede explotar remotamente
Esta vulnerabilidad se puede explotar de forma remota a través de solicitudes HTTP cuidadosamente diseñadas. Una búsqueda de Shodan muestra que alrededor de 170 descuidados han configurado mal sus sistemas POS, que ahora están disponibles en línea y podrían ser explotados si no se han actualizado con los parches de Oracle.
Oracle indica que más de 300.000 compañías han elegido implementar sistemas Micros POS para manejar los pagos con tarjeta de crédito o débito. Esto significa que la mayoría de los sistemas no son explotables a través de Internet.
Pero estos sistemas también son vulnerables. Los hackers pueden comprometer otros sistemas en la red interna de la tienda y usarlos como puntos de retransmisión para el código de ataque.
Además, un atacante siempre puede visitar la tienda, identificar un puerto de red abierto, distraer al personal de la tienda e infectar el sistema POS conectando una pequeña placa Raspberry Pi que ejecuta el código malicioso de explotación.
Oracle sacó los parches
Los parches para este error se pusieron a disposición en la actualización de parches críticos (CPU) de Oracle para enero de 2018. Actualmente, Oracle es el tercer proveedor de software POS en el mercado. La compañía sufrió una violación de seguridad de su red Micros en 2016.
La seguridad es algo muy importante en todos los casos. Sin embargo no basta con utilizar programas y herramientas de seguridad. Lo ideal es tener actualizados los programas a la última versión. Así podemos hacer frente a hipotéticas amenazas más recientes.
El caso de Oracle que hemos contado es uno más de los muchos que se resuelven simplemente con instalar actualizaciones.