Систему SAP POS удалось взломать с помощью ноутбука и карманного Raspberry Pi за $25

SAP POS - это преднастроенное по технологии "клиент-сервер" решение на основе системы SAP for Retail, предназначенной для автоматизации бухгалтерского учета, торговли и производства. Согласно данным издания «Forbes» за 2017 год, ее используют 80 процентов бизнесменов из 2000 крупнейших мировых компаний.

Уязвимость была обнаружена исследователями фирмы ERPScan. Они продемонстрировали свое открытие в рамках хакерской конференции «Hack in the Box», прошедшей в Сингапуре на прошлой неделе. Процесс взлома SAP с помощью одного лишь ноутбука и карманного компьютера Raspberry Pi подробно показан в видео. 

В ходе презентации исследователи продемонстрировали, как можно купить Macbook за $1.

Таким образом, злоумышленники могут похитить учетные данные банковских карт клиентов и даже получить полный контроль над серверами компании-жертвы.

Как только злоумышленник входит в систему, ему сразу же предоставляется неограниченный доступ к внутренним и внешним процессам системы POS. На сервер SAP POS Xpress можно загрузить вредоносный файл без какой-либо дополнительной процедуры аутентификации, говорится в отчете  ERPScan.

Возможности ограничены лишь воображением хакера. Например, можно установить специальную цену или скидку на конкретный продукт, указать время действия скидки и условия, при которых она действительна.

Представители SAP сразу же отреагировали на данную информацию выпуском двух патчей (SAP Security Note 2476601 and SAP Security Note 2520064) и призвали всех пользователей системы незамедлительно обновить свое ПО.