Системите за самостоятелно регистриране на Ariane Systems, инсталирани в хиляди хотели по света, са уязвими от грешка в режима на киоска, която може да позволи достъп до личната информация на гостите и ключовете за всички стаи.
Тези терминали позволяват на хората сами да резервират и да се регистрират в хотела, да обработват процеса на плащане чрез POS подсистема, да отпечатват фактури и да предоставят RFID транспондери, използвани като ключове за стаите.
Още през март изследователят по сигурността на Pentagrid Мартин Шоберт откри, че може лесно да заобиколи плейъра Ariane Allegro Scenario Player, работещ в киоск режим на терминала за самонастаняване в хотела, в който беше отседнал, и да получи достъп до основния десктоп на Windows с всички данни за клиентите.
Въпреки многократните опити да предупреди производителя, изследователят все още не е получил подходящ отговор от него за версията на фърмуера, която решава проблема.
Шоберт е открил, че приложението увисва при въвеждане на единична котировка на екрана за търсене на резервации на терминала.
При повторно докосване на екрана базовата операционна система Windows предлага на потребителя възможността да прекрати процеса на приложението, което прекратява Ariane Allegro Scenario Player и дава достъп до работния плот.
Оттам потребителят може да получи достъп до всички файлове, съхранявани на устройството, които могат да включват всичко – от записи на резервации с лична информация (PII) до фактури.
„С достъпа до работния плот на Windows могат да станат възможни атаки срещу хотелската мрежа, както и достъп до данните, съхранявани на терминала, които включват лични данни, резервации и фактури“, се обяснява в доклада на Pentagrid.
„С възможността за инжектиране и изпълнение на програмен код изглежда възможно да се получат ключове за стаи, създадени за други стаи, тъй като в терминала е реализирана функционалността за предоставяне на RFID транспондери.“
Уязвимите терминали обикновено се използват в малки и средни по размер заведения, където наемането на персонал за регистрация 24 часа в денонощието, 7 дни в седмицата би било твърде скъпо за бизнеса.
Според Ariane Systems нейните решения за самостоятелно чекиране в момента се използват от 3000 хотела в 25 държави, които общо имат над 500 000 стаи. Сред клиентите им са една трета от 100-те най-големи хотелски вериги в света.
След откриването на проблема в началото на март Шоберт многократно се е опитал да съобщи на Ariane своите констатации, но е получил само кратък отговор, в който се твърди, че проблемите са отстранени.
Понастоящем не е известно коя версия на приложението отстранява проблема, колко терминала използват уязвимата версия и кои хотелски вериги са засегнати.
На операторите на хотели, използващи терминали на Ariane Systems, се препоръчва да изолират машините за самонастаняване от хотелската мрежа и други критични системи и да се свържат с доставчика, за да установят дали използват защитена версия.
През април Шоберт открива подобен проблем в терминал за самостоятелно чекиране, използван от германски хотел Ibis. Той установява, че въвеждането на шест последователни тирета за референтния номер на резервацията кара терминала да връща данни за резервацията, като цена, номер на стаята и валидни входни ключови кодове.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
