Търсене
Close this search box.

Системите за самостоятелно регистриране на Ariane Systems, инсталирани в хиляди хотели по света, са уязвими от грешка в режима на киоска, която може да позволи достъп до личната информация на гостите и ключовете за всички стаи.

Тези терминали позволяват на хората сами да резервират и да се регистрират в хотела, да обработват процеса на плащане чрез POS подсистема, да отпечатват фактури и да предоставят RFID транспондери, използвани като ключове за стаите.

Още през март изследователят по сигурността на Pentagrid Мартин Шоберт откри, че може лесно да заобиколи плейъра Ariane Allegro Scenario Player, работещ в киоск режим на терминала за самонастаняване в хотела, в който беше отседнал, и да получи достъп до основния десктоп на Windows с всички данни за клиентите.

Въпреки многократните опити да предупреди производителя, изследователят все още не е получил подходящ отговор от него за версията на фърмуера, която решава проблема.

Избягване на единични кавички

Шоберт е открил, че приложението увисва при въвеждане на единична котировка на екрана за търсене на резервации на терминала.

При повторно докосване на екрана базовата операционна система Windows предлага на потребителя възможността да прекрати процеса на приложението, което прекратява Ariane Allegro Scenario Player и дава достъп до работния плот.

Оттам потребителят може да получи достъп до всички файлове, съхранявани на устройството, които могат да включват всичко – от записи на резервации с лична информация (PII) до фактури.

„С достъпа до работния плот на Windows могат да станат възможни атаки срещу хотелската мрежа, както и достъп до данните, съхранявани на терминала, които включват лични данни, резервации и фактури“, се обяснява в доклада на Pentagrid.

„С възможността за инжектиране и изпълнение на програмен код изглежда възможно да се получат ключове за стаи, създадени за други стаи, тъй като в терминала е реализирана функционалността за предоставяне на RFID транспондери.“

Въздействие и отстраняване

Уязвимите терминали обикновено се използват в малки и средни по размер заведения, където наемането на персонал за регистрация 24 часа в денонощието, 7 дни в седмицата би било твърде скъпо за бизнеса.

Според Ariane Systems нейните решения за самостоятелно чекиране в момента се използват от 3000 хотела в 25 държави, които общо имат над 500 000 стаи. Сред клиентите им са една трета от 100-те най-големи хотелски вериги в света.

След откриването на проблема в началото на март Шоберт многократно се е опитал да съобщи на Ariane своите констатации, но е получил само кратък отговор, в който се твърди, че проблемите са отстранени.

Понастоящем не е известно коя версия на приложението отстранява проблема, колко терминала използват уязвимата версия и кои хотелски вериги са засегнати.

На операторите на хотели, използващи терминали на Ariane Systems, се препоръчва да изолират машините за самонастаняване от хотелската мрежа и други критични системи и да се свържат с доставчика, за да установят дали използват защитена версия.

През април Шоберт открива подобен проблем в терминал за самостоятелно чекиране, използван от германски хотел Ibis. Той установява, че въвеждането на шест последователни тирета за референтния номер на резервацията кара терминала да връща данни за резервацията, като цена, номер на стаята и валидни входни ключови кодове.

 

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
11/10/2024

Предизвикателствата в облас...

Какви са приоритетите на CISO и...
10/10/2024

Атаката на American Water п...

Кибератака продължава да засяга най-голямата регулирана...
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!