Bitdefender ha rilasciato una ricerca su una campagna attiva di hacker che prende di mira il settore alberghiero e utilizza un motore di prenotazione vulnerabile chiamato IRM-NG sviluppato da Resort Data Processing (RDP) per estorcere dati delle carte di credito, password e informazioni personali. Nel settore dell’accoglienza, il software per la gestione degli affitti turistici è diventato un must per hotel, resort e piccole imprese, semplificando le prenotazioni, le interazioni con gli ospiti e la gestione della proprietà. Sebbene questo software possa sembrare incentrato sulle prenotazioni, contiene dati preziosi come le informazioni sulle carte di credito, le preferenze degli ospiti e le comunicazioni. Questi dati sono un obiettivo primario per gli hacker in cerca di guadagni finanziari o di accessi non autorizzati.
Per gli hacker particolarmente interessanti sono i dati delle carte di credito che rappresentano infatti il 41% delle violazioni nel settore dell’accoglienza (fonte: report Verizon Data Breach Investigations). La combinazione del notevole volume di transazioni del settore dell’accoglienza e l’integrazione dei gateway di pagamento ne fanno un obiettivo redditizio.
In questa campagna attiva individuata da Bitdefender, gli hacker utilizzano le vulnerabilità del motore di prenotazione IRM-NG in combinazione con backdoor e tecniche per compromettere la convalida delle password lato client (non sui server RDP). Il motore IRM-NG consente ai dipendenti di RDP di accedere ai propri clienti utilizzando un account particolare di amministrazione, con la convalida della password effettuata lato client e non sui server RDP.
L’algoritmo di convalida della password si trova nella Dynamic Link Library (DLL) ed è debole. Se la DLL viene invertita, gli hacker possono generare la password giornaliera e autenticarsi con successo a qualsiasi resort/hotel e a diverse altre funzioni dell’applicazione, tra cui la gestione dei contenuti e il debug (che consente di leggere i log).
Bitdefender ha tentato di contattare RDP più volte, ma non ha ottenuto risposta.
La difesa contro gli attacchi moderni, come in questo caso verso l’accoglienza, dovrebbe incorporare un’architettura di difesa approfondita e includere la prevenzione, il rilevamento e la risposta alle minacce attraverso soluzioni come XDR/EDR o un servizio di sicurezza gestito come MDR.
