Oracle’ın Opera mülk yönetim sistemini kullanan dünya çapında konaklama endüstrisindeki binlerce otel ve diğer kuruluş, Oracle’ın Nisan 2023 güvenlik güncellemesinde ifşa ettiği yazılımdaki bir kusuru hızla düzeltmek isteyebilir.
Oracle, güvenlik açığını (CVE-2023-21932), yalnızca yüksek ayrıcalıklı erişime sahip kimliği doğrulanmış bir saldırganın yararlanabileceği Oracle Hospitality Opera 5 Property Services ürünündeki karmaşık bir hata olarak tanımlamıştır. Satıcı, diğer şeylerin yanı sıra, bir saldırganın onu uzaktan kullanamayacağı gerçeğine dayanarak, CVSS ölçeğinde ona 7,2’lik orta dereceli bir önem derecesi atadı.
Yanlış Değerlendirme
Ancak açığı gerçekten keşfeden ve Oracle’a bildiren araştırmacılar, şirketin güvenlik açığını tanımlamasına katılmıyor ve yanlış olarak nitelendiriyor.
Bir blog gönderisinde, saldırı yüzey yönetimi şirketi Assetnote ve diğer iki kuruluştan araştırmacılar, geçen yıl canlı bir bilgisayar korsanlığı etkinliğine katılırken hatayı kullanarak kimlik doğrulama öncesi uzaktan kod yürütmeyi başardıklarını söylediler. Araştırmacılar, bu olaydaki hedefi ABD’deki en büyük tatil yerlerinden biri olarak tanımladılar.
Assetnote’un kurucu ortağı ve CTO’su Shubham Shah, bu hafta bir blog gönderisinde “Oracle’ın iddia ettiğinin aksine, bu güvenlik açığından yararlanmak için herhangi bir kimlik doğrulaması gerekmiyor” dedi. “Bu güvenlik açığının CVSS puanı 10.0 olmalıdır.”
Oracle, araştırmacıların güvenlik açığıyla ilgili değerlendirmelerine yönelik bir Karanlık Okuma talebine yanıt vermedi.
Micros Opera olarak da bilinen Oracle Opera, dünya çapında otellerin ve otel zincirlerinin rezervasyonları, misafir hizmetlerini, muhasebe ve diğer işlemleri merkezi olarak yönetmek için kullandığı bir mülk yönetim sistemidir. Müşterileri arasında Wyndham Group, Radisson Hotels, Accor Hotels, Marriott ve IHG gibi büyük zincirler bulunmaktadır.
Yazılımdan yararlanan saldırganlar, misafirlere ait kimlik bilgilerine, kredi kartı verilerine ve diğer hassas bilgilere potansiyel olarak erişebilir. CVE-2023-21932, Opera 5 Mülk Hizmetleri platformunun 5.6 sürümünde mevcuttur.
Oracle, güvenlik açığından yararlanan saldırganların Opera 5 Mülkiyet Hizmetlerinin erişim sahibi olduğu tüm verilere erişmesine izin verdiğini söyledi. Ayrıca, saldırganların sistemdeki verilerin en azından bir kısmına erişimi güncellemesine, eklemesine veya silmesine izin verir.
Bir İşlem Sırası Hatası
HackerOne platformunda bir hata avcısı olan Shah, güvenlik açığını Assetnote’ta mühendislik lideri Sean Yeoh, PwC Australia’da bir kalem testçisi olan Brendan Scarvell ve rakipte CISO’dan Jason Haddix ile işbirliği içinde Opera’nın kaynak kodu analizini yaparken keşfetti. öykünme şirketi BuddoBot.
Shah ve diğer araştırmacılar, CVE-2023-21932’nin, şifrelenmiş bir yükü iki belirli değişken için sterilize eden ve ardından bunun tersini yapmak yerine şifresini çözen bir Opera kodu segmenti ile ilgili olduğunu belirlediler. Araştırmacılar, bu tür bir “işlem sırası” hatasının, saldırganlara herhangi bir temizleme işlemi olmadan değişkenler aracılığıyla herhangi bir yüke gizlice girme yolu verdiğini söyledi.
“İşlem sırası hataları gerçekten nadirdir ve bu hata, bu hata sınıfının çok açık bir örneğidir.” Şah tweet attı Bu hafta.
“Canlı bir bilgisayar korsanlığı etkinliği için ABD’deki en büyük tatil yerlerinden birine erişim kazanmak için bu hatayı kullanabildik.”
Araştırmacılar, ön kimlik doğrulama işlemini gerçekleştirmek için Opera’daki belirli kontrollerin üstesinden gelmek için attıkları adımları özetlediler ve hiçbirinin yazılıma ilişkin herhangi bir özel erişim veya bilgi gerektirmediğini belirttiler.
“Bu güvenlik açığından yararlanmak için gerçekleştirilen tüm adımlar herhangi bir kimlik doğrulaması olmadan yapıldı” diye yazdılar. Oracle’ın bu konuda bilgilendirildikten sonra hatayı serbest bırakmasının neredeyse tam bir yıl sürdüğünü iddia ettiler.
Assetnote bloguna yanıt veren güvenlik araştırmacısı Kevin Beaumont, bir saldırganın Opera kullanan otelleri ve diğer varlıkları bulmak için kullanabileceği birkaç Shodan sorgusu olduğunu söyledi. Beaumont, Shodan aracılığıyla bulduğu her mülkün kusura karşı yamalanmadığını söyledi. Beaumont, “Bir aşamada Oracle ürün güvenliği hakkında konuşmamız gerekiyor,” dedi.
Shah ve diğer araştırmacılara göre CVE-2023-21932, Oracle Opera’daki birçok kusurdan sadece biri – en azından şirketin bazılarını ele almamış. “Lütfen bunu internete asla maruz bırakmayın” diye yazdılar.