Ariane Allegro Hotel Check-In Kiosklarındaki bir güvenlik açığı konuk verilerini açığa çıkardı ve potansiyel olarak oda erişimini tehlikeye attı. Ancak, bu sorunu gidermek için sistemin güvenliğini artıran bir yama geliştirildi ve artık kullanıma sunuldu.
İsviçreli siber güvenlik firması Pentagrid, yakın zamanda otel check-in kiosklarında yaygın olarak kullanılan bir yazılım programı olan Ariane Allegro Scenario Player’da bir güvenlik açığını ortaya çıkardı. Güvenlik açığı, birisinin kiosk’un kullanım amacından (kiosk modu) çıkıp temeldeki Windows Masaüstü İşletim Sistemine erişmesine olanak verebilir.
Yazılım satıcısı Ariane Systems, 25’ten fazla ülkede 3.000 otel ve 500.000 odaya hizmet veren, kendi kendine giriş ve çıkış çözümlerinde dünya lideridir.
Lihtenştayn ve İsviçre’deki bir konaklama markasındaki tehdit modelleme çalıştayı sırasında Pentagrid’den Martin Schobert, uygulamanın misafir aramasına tek bir alıntı karakteri girdikten sonra Kiosk modunda çöktüğünü ortaya çıkardı.
Otel markası, oda rezervasyonunu/girişini kolaylaştırmak, bir POS terminali yoluyla ödeme başlatmak, rezerve edilen otel odasını açmak için RFID aktarıcılarını sağlamak ve faturaları yazdırmak amacıyla daha küçük yerler için muhtemelen Ariane Duo 6000 serisi olan bu giriş terminalini kullanıyor. .
Schobert, konukların/kullanıcıların rezervasyon kodunu veya soyadını girerek oda rezervasyonlarını aramaları gerektiğini buldu. Adın “O’YOLO” gibi tek bir tırnak işareti içermesi durumunda uygulama kilitlenir, Windows işletim sistemi kullanıcıdan görevi beklemesini veya durdurmasını ister ve durdurma seçildiğinde kiosk modu uygulaması sonlandırılır.
Durdurulduğunda Windows işletim sistemi erişilebilir hale gelir ve bu da olumsuz sonuçlara yol açabilir. otel ağı saldırılarına izin vermek, PII, rezervasyonlar ve faturalar dahil olmak üzere terminalde depolanan verilere erişim ve diğer odalar için oda anahtarlarının oluşturulmasına olanak tanıyan RFID aktarıcı gibi. Ancak kusurdan yararlanmak için kullanıcının sisteme fiziksel erişiminin olması ve terminalin, otellerin genellikle belirli zamanlarda etkinleştirdiği self-servis durumunda olması gerekir.
Güvenlik açığı için henüz bir CVE atanmamış olup Kiosk Modu Atlama şiddeti 6,3 (Orta) olarak verilmiştir. Mart 2024’te keşfedilen güvenlik açığı derhal satıcıya iletildi.
Ariane Systems, bunların USB bağlantı noktalarının devre dışı bırakıldığı ve “kiosktan hiçbir kişisel bilgi veya sömürülebilir verinin alınamadığı” “eski sistemler” olduğunu açıkladı. Ayrıca otelin yazılımın eski bir sürümünü kullanıyor olması gerektiğine inanıyordu. Ancak Pentagrid, sistemin tasarımının “kiosk’un erişilebilir fatura dosyaları üretmesine ve saklamasına” olanak tanıdığını ileri sürdü.
Yine de Ariane Systems sorunun çözüldüğünü doğruladı. Ancak sorunu çözen kesin sürüm kamuya açıklanmadı. Hackread, açıklama için doğrudan satıcıyla iletişime geçmenizi ve korunmak için en son sürümü hemen yüklemenizi önerir.
Siber Güvenlik ve Tehdit İstihbaratı Danışmanlık firması Bambenek Consulting’in Başkanı John Bambenek, aile içi şiddet vakalarında mağdurların odalarına olası erişimin, terminallerin POS cihazı olarak kullanılması nedeniyle kredi kartı verilerinin çalınmasının tehlikelerine vurgu yaparak konu hakkında yorum yaptı.
“En büyük risk, çeşitli aile içi şiddet ve istenmeyen misafirlerin, kurbanın odasını açmak için anahtarları alabileceği takip senaryolarını içerir. Bu cihazlar aynı zamanda otel odalarındaki ödemeleri kolaylaştırmak için POS terminalleri olarak da kullanıldığından, muhtemelen en büyük risk kredi kartı bilgilerinin çalınmasıdır.“
“Temel sorun, bu belirli konumdaki belirli terminallerin güvenlik açığına sahip olması (her ne kadar bulunması çok basit olsa da) ve sonraki sürümlerde bulunmaması gibi görünüyor. Kiosklar genellikle “ayarla ve unut” cihazlarıdır; bu da operatörlerin rutin olarak güncellenmeleri gerektiğini veya güncellenip güncellenmediklerini bilemeyebilecekleri anlamına gelir.“ ekledi.
“Bu cihazlar muhtemelen anahtarların verilmesi ve oda yönetiminin sağlanması gerektiğinden ana otel ağından tamamen izole edilemez, ancak cihazlar yalnızca gerekli makineleri ve bağlantı noktalarını göndermekle sınırlı olmalı ve diğer her şey filtrelenmelidir.“ Bambanek tavsiye etti.
İLGİLİ KONULAR
- Vietnamlı Grup Yatak Odası Kamera Görüntülerini Hackledi ve Sattı
- Otel rezervasyon platformu, çevrimiçi rezervasyon sitelerinden verileri sızdırdı
- Güvenlik Açığı, Ibis Budget Misafir Odası Kodlarını Bilgisayar Korsanlarının Ele Geçirmesine Maruz Kaldı