如果你發現你緊巴巴攢了幾個月買到的 Macbook Pro 居然 1 美元就能買到......

1 美元大概等于6. 6465 人民幣， 6 塊錢買到 Macbook Pro？！

近日安適公司 ERPScan 的安適研究員發現了一個 SAP POS Xpress Server 的漏洞，這個漏洞允許攻擊者任意更改 SAP 銷售點系統的配置文件和產品價格，還能收集消費者的銀行卡數據。

厲害了Word 洞！

ERPScan 方面體現，SAP POS 系統沒有任何身份驗證辦法，，這相當于給黑客開了天窗，只要他們與 SAP POS Xpress Server 處于同一網絡環境下，不需要任何憑證就能進入系統修改關鍵功能。如果支付系統與 Internet 相連，黑客也可以進行遠程攻擊。

你以為不聯網就是安適的了嗎？

NO！

即使 POS 系統采用氣隙網絡（air-gap network），攻擊者只需要連接一個成本僅 25 美元的 Rasberry Pi，就可以自動運行惡意命令。

只需要幾秒鐘，黑客就能找到系統開放端口執行惡意命令，修改產品價格并上傳新的 SAP POS Xpress Server 配置文件，并重新啟動 POS 辦事器。

在本年四月，ERPScan 已向 SAP 展示研究陳訴，SAP方面也在 Security Note 2476601 和 SAP Security Note 2520064 中修復。

而這似乎只是冰山一角，SAP 的 POS 系統被約 80％ 的全球 2000 強零售商使用，這些系統都有做過相應的漏洞修補嗎？