Oracle a publié le correctif d’une vulnérabilité critique qui affecte ses terminaux de paiement micros. Le patch de la vulnérabilité référencée CVE-2018-2636 a été divulgué dans le cadre de l’avis de sécurité émis par l’entreprise au mois de janvier de cette année. D’après la note d’information de la firme de sécurité ERPScan à l’origine de la découverte de cette faille, 300 000 systèmes sont concernés de par le monde.
Les chercheurs d’ERPScan rapportent que les systèmes de paiement concernés peuvent être sujets à des attaques par « traversement de répertoires ». En substance, il s’agit de la possibilité pour un attaquant de modifier le chemin d’accès dans une URL afin de forcer un serveur à accéder à des sections non autorisées d’un site ou d’une application Web. La conséquence est qu’un tiers mal intentionné peut exfiltrer des fichiers de configuration de la station de travail. Avec les données retrouvées, l’attaquant peut s’octroyer un accès total aux services rattachés au terminal de paiement (base de données et serveur). Dans la majorité des cas, la moindre des choses pour un attaquant serait alors d’installer un logiciel de collecte d’informations liées aux cartes bancaires.
La firme de sécurité fait état de ce que la faille peut être exploitée au travers du réseau local dans lequel le terminal est inséré ; il suffira que le pirate accède à un connecteur RJ45 auquel il connectera un Raspberry Pi contenant le code malveillant. Pire, la faille peut être exploitée à distance au travers de requêtes HTTP spéciales. ERPScan rapporte en effet avoir découvert 170 terminaux de paiement micros en utilisant le moteur de recherche Shodan. La firme de sécurité a également publié une preuve de concept qui, lorsqu’exécutée sur un serveur micros vulnérable, envoie des requêtes conçues à dessein pour obtenir des fichiers critiques.
Rien de nouveau lorsqu’on parle de failles de sécurité dans des terminaux de paiement micros. Dans ce que l’on peut désormais nommer « cas 2018 », pas de rapport d’exploitation des failles par des cybercriminels, du moins pour le moment puisque d’après ERPScan, bon nombre de systèmes ne sont pas encore à jour. Par contre, les hommes de l’ombre ont déjà réussi le tour de force en 2016. Ces derniers ont réussi à infiltrer le portail d’assistance global des terminaux de paiement micros et à y installer un logiciel de collecte d’identifiants mettant à leur portée les données de 330 000 systèmes répartis sur 180 sites (hôtels, grandes surfaces, etc.) de par le monde.
Dans une industrie où la stabilité des systèmes est gage de rentrée ininterrompue d’argent, les administrateurs système sont souvent assez lents à appliquer les nouveaux correctifs. ERPScan a néanmoins publié un script pour ceux qui voudront faire le premier pas, à savoir, faire l’état des lieux de leur système.