25달러 라즈베리파이로 SAP POS 시스템 해킹

ERPScan의 연구원은 25달러 라즈베리파이로 SAP POS 시스템 해킹할 수 있는 취약점을 발견했다. 해당 취약점을 악용하면, 고객의 카드 데이터를 훔쳐 서버를 완전히 제어 할 수 있다.

 ERPScan은 "일단 로그인하면 인증 절차없이 SAP POS Xpress Server에 악의적인 구성 파일을 업로드 할 수 있으므로

 POS 시스템의 백엔드 및 프런트 엔드를 무제한으로 제어할 수 있습니다."라고 발표했다. 공격자는 Xpress Server에 새 설정을 구성하고 Xpress 서버에 

특정 명령을 보내 POS 터미널을 다시 시작할 수 있다고 한다. "이 취약점으로 인해 POS 단말기가 원격으로 시작되고 중지 될 수 있습니다."라고 ERPScan은 설명하며 사용자의 주의를 권고하고 있다.

 또한 이 취약점은 신용 카드 번호 데이터를 기록하고 해커의 서버로 직접 전송하는 데 악용 될 수 있다. 현재 SAP POS Retail Xpress Server의 모든 취약점은 SAP에 의해 해결되었으므로 

시스템을 보호하기 위해 가능한 빨리 적절한 패치(SAP 보안 참고 사항 2476601 및 SAP 보안 참고서 2520064)를 설치해야 한다.

[http://securityaffairs.co/wordpress/62458/hacking/hacking-sap-pos.html]