如果你發(fā)現(xiàn)你緊巴巴攢了幾個月買到的 Macbook Pro 居然 1 美元就能買到......

1美元大概等于6.6465人民幣，6塊錢買到 Macbook Pro？！

雷鋒網(wǎng)消息，近日安全公司 ERPScan 的安全研究員發(fā)現(xiàn)了一個 SAP POS Xpress Server 的漏洞，這個漏洞允許攻擊者任意更改 SAP 銷售點(diǎn)系統(tǒng)的配置文件和產(chǎn)品價格，還能收集消費(fèi)者的銀行卡數(shù)據(jù)。

厲害了Word 洞！

ERPScan 方面表示，SAP POS 系統(tǒng)沒有任何身份驗(yàn)證措施，這相當(dāng)于給黑客開了天窗，只要他們與 SAP POS Xpress Server 處于同一網(wǎng)絡(luò)環(huán)境下，不需要任何憑證就能進(jìn)入系統(tǒng)修改關(guān)鍵功能。如果支付系統(tǒng)與 Internet 相連，黑客也可以進(jìn)行遠(yuǎn)程攻擊。

你以為不聯(lián)網(wǎng)就是安全的了嗎？

NO！

即使 POS 系統(tǒng)采用氣隙網(wǎng)絡(luò)（air-gap network），攻擊者只需要連接一個成本僅25美元的 Rasberry Pi，就可以自動運(yùn)行惡意命令。

只需要幾秒鐘，黑客就能找到系統(tǒng)開放端口執(zhí)行惡意命令，修改產(chǎn)品價格并上傳新的 SAP POS Xpress Server 配置文件，并重新啟動 POS 服務(wù)器。

在今年四月，ERPScan 已向 SAP 展示研究報(bào)告，SAP方面也在 Security Note 2476601 和 SAP Security Note 2520064 中修復(fù)。

而這似乎只是冰山一角，SAP 的 POS 系統(tǒng)被約 80％ 的全球 2000 強(qiáng)零售商使用，這些系統(tǒng)都有做過相應(yīng)的漏洞修補(bǔ)嗎？

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。