Büyük otel ve resort zincirlerinde yaygın olarak kullanılan bir mülk yönetim sistemi olan Oracle Opera’da yakın zamanda yamalanan bir güvenlik açığı (CVE-2023-21932), Oracle’ın söylediğinden daha kritiktir ve kimliği doğrulanmamış uzak saldırganlar tarafından hassas bilgilere erişmek için kolayca kullanılabilir. bir grup araştırmacı uyardı.
Oracle Opera giriş sayfası (Kaynak: Assetnote)
Dahası, bu sistemler genellikle internete açıktır ve bulunması zor değildir. Güvenlik araştırmacısı Kevin Beaumont’a göre, Shodan’da bunların yerini belirlemek için kullanılabilecek bir dizi sorgu var ve bulduğu her biri yamasız.
CVE-2023-21932 hakkında
Micros Opera olarak da bilinen Oracle Opera, konaklama endüstrisindeki birçok şirketin – daha spesifik olarak konaklama ve ilgili hizmetler sunanların – rezervasyonları, satışları, kat hizmetleri, ikramları yönetmek ve kişiselleştirilmiş konuk deneyimleri sunmak için kullandığı bir çözümdür.
Araştırmacılar Shubham Shah, Sean Yeoh, Brendan Scarvell ve Jason Haddix’in açıkladığı gibi, çözümün açılış sayfasının eski tasarımı ve özel yapısı onları kusurları araştırmaya teşvik etti ve bir tane buldular.
CVE-2023-21932, Oracle Hospitality OPERA 5 Property Services ürününün 5.6 sürümünü etkiler ve saldırganların çözüm yoluyla erişilebilen kritik verilere erişmesine, bunları güncellemesine veya eklemesine izin verebilir. Oracle’a göre, güvenlik açığından yararlanmak zor ve saldırganın HTTP aracılığıyla yüksek ayrıcalıklara ve ağ erişimine ihtiyacı var.
Araştırmacılar aynı fikirde değiller ve saldırganların, belirli URL’lerden bir JNDI bağlantı adı aldıktan ve çözümlerin şifreleme düzenini kırdıktan ve onu keyfi dizileri şifrelemek için yeniden amaç edindikten sonra, kimlik doğrulama öncesi komut yürütmeyi nasıl kolayca başarabileceklerini gösterdiler.
Son olarak, yerel dosya sistemine bir CGI web kabuğu yüklemek için bir yük oluşturdular.
“RCE, herhangi bir özel erişim veya bilgi olmadan mümkündür. Bu güvenlik açığından yararlanmak için gerçekleştirilen tüm adımlar, herhangi bir kimlik doğrulaması olmadan gerçekleştirilmiştir. Bu güvenlik açığının CVSS puanı 10.0 olmalıdır” diyerek sözlerini tamamladılar.
Şah’a göre onlar yapabildiler canlı bir bilgisayar korsanlığı etkinliği sırasında ABD’deki en büyük tatil yerlerinden birine erişim elde etmek için bu hatayı kullanmak.
Şimdi ne var?
Oracle Opera çözümünü kullanan kuruluşlar, Oracle tarafından Nisan ayında sağlanan yamaları hızla uygulamalıdır.
Tüm bu bilgiler artık herkese açık ve pek çok yamasız internete bakan kurulumla, saldırganların hızla kusurdan yararlanmaya ve hassas verileri ele geçirmeye çalışması olası ve muhtemeldir.
Ancak Shah’ın belirttiği gibi, ürünün kapsamlı bir kod güvenlik denetimine şiddetle ihtiyaç vardır.
“Hala yama yapılmamış bir ton güvenlik açığı var. XXE, Arb Dosyası Yazma, Tam okuma SSRF. Bu yazılımı denetlerseniz, muhtemelen başka bir kritik ön kimlik doğrulama zinciri bulacaksınız” dedi. söz konusu. “Bu yazılımı çalıştıran herkese tavsiyem, onu harici internetten kaldırmasıdır.”