Наверняка многие уже слышали о компрометации более 700 систем MICROS в ритейл-секторе компании Oracle. Русский след нашли и здесь: в причастности к инциденту подозревают русский преступный киберсиндикат Carbanak, обвиняемый в краже более $1 млн у различных банков, ритейл-компаний и фирм в гостиничном бизнесе в течение последних семи лет.

Можно с уверенностью сказать, что для подобного происшествия давно имелись все возможные предпосылки. Cначала была скомпрометирована система внутри корпоративной сети Oracle, после чего был скомпрометирован и сам клиентский портал MICROS.

Вопрос о том, сколько уязвимостей в MICROS POS еще не найдено, остается открытым

Последнее заявление компании Oracle свидетельствует о ее беспокойстве относительно утекших учетных данных пользователей. Есть опасение, что критичная информация на клиентском портале MICROS может быть использована злоумышленниками удаленно для администрирования и, что еще опаснее, для загрузки вредоносного кода. Такое ПО будет воровать данные банковских карт и счетов. Сфера POS вообще очень привлекательна для злоумышленников тем, что при компрометации POS-системы они могут загрузить вредоносный код как в саму систему, так и в POS-терминал, таким образом напрямую получая данные о каждой использованной банковской карте.

Сейчас нельзя точно сказать, какие уязвимости использовали злоумышленники, однако стоит отметить, что недавно компания Oracle закрыла ряд уязвимостей в MICROS POS (CVE-2016-0684, CVE-2016-3429, CVE-2016-0469). Вопрос о том, сколько уязвимостей в MICROS POS еще не найдено, остается открытым. Тот факт, что MICROS Systems только недавно стала принадлежать компании Oracle, также может сказаться на качестве кода их продуктов.

В чем опасность данной атаки? Очевидно, как минимум, компрометацией ряда клиентов Oracle, использующих MICROS POS. Однако, поставив себя на место атакующих, можно было бы задаться вопросом: а зачем останавливаться только на компрометации клиентского портала MICROS, если находишься внутри корпоративной сети Oracle?

Если же говорить о том, что угрожает самому вендору, можно отметить, что злоумышленникам может быть легко открыт доступ к различным ноу-хау, новым разработкам, корпоративным секретам. Также они способны завладеть данными о других продуктах вендора, получить доступ к инфраструктуре, связанной с другими бизнес-продуктами Oracle, тем самым поставив под угрозу пользователей таких ERP-систем, как Oracle EBS, PeopleSoft, Siebel.

Разработчики стараются молчать о подобных инцидентах, пытаясь смягчить последствия

В случае компрометации ERP-системы злоумышленники могут получить доступ к критичной информации: учетным данным пользователей, банковским, кредитным, персональным данным и т. д.

Получится ли разрулить ситуацию, будет зависеть от того, какую тактику противодействия преступникам выберет вендор. В любом случае разработчики стараются молчать о подобных инцидентах, пытаясь смягчить последствия.

Каковы риски для клиентов, использующих скомпрометированный продукт производителя ERP-систем? Все зависит от индустрии, в которой работает компания. Если говорить о ритейле, это хищение банковских данных. В случае с Manufacturing, Oil and Gas и другими специфическими отраслями это может быть чревато раскрытием корпоративных секретов, срывом новых проектов и разного рода саботажем.

Если бы Oracle умолчала о происшедшем, последствия могли бы быть намного хуже

В данном случае Oracle проявила себя именно так, как и требовалось повести себя вендору, который пострадал от атаки. Хотя мы и не знаем полного масштаба бедствия, клиенты MICROS в итоге получили предупредительные письма о необходимости сбросить пароли к учетным записям. Перед этой рассылкой Oracle, скорее всего, провела полное расследование инцидента и сочла эти рекомендации достаточными для того, чтобы обезопасить клиентов.

Если бы Oracle умолчала о происшедшем, последствия могли бы быть намного хуже. Помимо публичной огласки и возможных репарационных потерь были бы еще претензии от пострадавших клиентов. Такой инцидент может произойти в любой компании, у любого вендора: небольшая брешь в безопасности позволит атакующим создать и развить вектор атаки, компрометирующий не только всю компьютерную сеть, а также все клиентские (как персональные, так и платежные) данные. И в этом случае важна правильная реакция вендора на инцидент.

Также стоит отметить, что в последнее время наблюдается рост числа атак с использованием узконаправленных уязвимостей в индустрии специальных решений. Это актуально не только для ритейла, но и для Oil and Gas, Manufacturing и т. д. К сожалению, большая часть подобных инцидентов так и не предается огласке.

Происшедшее обращает наше внимание на то, сколь важно заботиться о защите продуктов во всех сферах бизнеса. Мы можем видеть, как брешь безопасности в одной единственной системе или сервисе вендора позволяет компрометировать огромное количество систем его клиентов, и, как результат, простых обывателей.