近期，我发现在一些大型商务酒店所使用的前台数据管理系统（Oracle Opera）中存在多个安全漏洞。黑客可利用这些漏洞，进行酒店订房App提权，以获得更高的用户使用权限；同时还能够进入酒店管理网络的后台数据库及操作系统，实施RCE攻击。攻击者利用这些漏洞，可在未经身份验证的情况下，进入Oracle Opera数据库系统，盗取酒店顾客的身份信息、电话号码等隐私数据。据悉，甲骨文公司（Oracle）已经接到了漏洞相关情况的报告，及时对漏洞进行了修复，并发布了漏洞报告，在其中详细描述了漏洞的具体情况。

Oracle Opera系统简介

Oracle Opera（也称为Opera PMS，前身为Micros Opera）是由甲骨文旗下的子公司Micros为全球范围内各大商务酒店量身打造的一款酒店前台操作系统。它能为酒店管理层和员工提供全方位、系统化的管理工具，以便其能快捷高效地处理客户资料、顾客预订、入住退房、客房分配、房内设施管理以及账户账单管理等日常工作。凯悦（Hyatt）、希尔顿（Hilton）等全球知名酒店使用的均是Opera PMS操作系统。

在顾客完成费用支付的过程中，该应用程序会将顾客的银行卡的相关信息，包括：PAN码（信用卡账户编号）、失效日期、持卡人姓名等，保存在系统后台的数据库中。目前，相关安全人员已披露了3种能够进入该后台数据库的攻击方式。一旦攻击者拿到了该数据库的登录权限，他便能盗取并解密其中保存的隐私数据。

经过分析后我发现，用户数据之所以会遭到黑客窃取，问题主要出在Opera PMS系统本身，而与用户的操作无关；同时，如果仅使用黑盒测试是无法唯一确定漏洞的性质的。不同于以往的漏洞解决方案（供应商接到漏洞报告，并通过内部测试的方法修复漏洞），由于Opera PMS系统供应商向广大用户提供了详尽的解决方案，这便给黑客攻击Opera PMS系统创造了巨大的空间。攻击者很容易知晓该软件存在的缺陷，并可对其合法性进行分析测试。在经过相应的动态分析和静态分析之后，攻击者便能找到“进入”该系统数据库的最佳切入点。

漏洞详解

No.1 CVE-2016-5665:窃取系统日志文件，实施会话劫持

在用户登录Oracle Opera系统后，他们可以选择其中一个系统接口进行交互会话。启动其中接口的请求中包含了用户会话令牌、特定接口启动参数等相关信息。

这里存在一个问题，即：由于系统会将用于实现用户交互的会话令牌和其他参数放置在一个目录文件中，而黑客在未经身份验证的情况下，便能通过Web服务器访问该文件。这便是威胁所在。

而黑客所需要做的便是“守株待兔”，等待一位具有系统管理员身份的用户登录Opera。待该用户登陆成功之后，他便可通过应用程序，拿到系统的所有操作权限，对其中的数据进行任意操作。因为系统管理员具有较高的系统使用权限，能够对数据库中的数据进行查询、修改和删除等重要操作。一旦攻击者拿到了管理员权限，那么数据泄漏则无法避免。