Sicherheitslücke bei Hotel-Check-in-Terminal Ariane Allegro entdeckt

Am 5. Juni 2024 berichtete die Pentagrid AG über eine Sicherheitslücke bei einem Hotel-Check-in-Terminal, das den Ariane Allegro Scenario Player im Kiosk-Modus nutzt. Diese Sicherheitslücke wurde während eines Bedrohungsmodellierungs-Workshops in einem neuen Hotel entdeckt, das keine Check-in-Mitarbeiter hat und vollständig auf Selbstbedienungsterminals setzt. Die Lücke erhielt die Bewertung CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, 6.8 / 10.

Das Check-in-Terminal stürzte ab, als ein einzelnes Anführungszeichen in das Suchfeld für Gästereservierungen eingegeben wurde. Dieser Absturz ermöglichte den Zugriff auf den zugrunde liegenden Windows-Desktop. Laut Ariane Systems war eine veraltete Softwareversion installiert. Durch den Zugriff auf den Windows-Desktop könnten Angreifer auf das Hotelnetzwerk und auf dem Terminal gespeicherte Daten, einschließlich personenbezogener Daten (PII), zugreifen sowie Programmcode injizieren und ausführen, um z.B. Zimmerschlüssel für andere Räume zu erstellen.

Betroffenen Hotels wird empfohlen, die aktuelle Version des Ariane Allegro Scenario Players zu installieren und die Check-in-Terminals zu isolieren, um Angriffe auf das Hotelnetzwerk zu verhindern.

Related Posts

FBI Aufruf an LockBit Opfer: wir konnten 7.000 Decryption Keys sicherstellen

In diesem Jahr führte das FBI auch eine komplexe Operation gegen LockBit durch, ein großes Ransomware-as-a-Service (RaaS)-Modell. LockBit wurde von dem russischen Programmierer Dimitri Khoroshev, alias “Putinkrab”, “Nerowolfe” und “LockBitsupp” gegründet. Er lizenziert LockBit-Ransomware an hunderte kriminelle Gruppen und erhält 20 % der erpressten Gelder. Khoroshev unterstützt seine Affiliates durch Hosting, Schätzung optimaler Lösegeldforderungen und Geldwäsche. Seit 2019 hat LockBit weltweit über 2.400 Angriffe durchgeführt, die Milliarden von Dollar an Schäden verursacht haben.

Read More

Datenleck bei Hugging Face: Space Secrets betroffen

Diese Woche entdeckte das Team von Hugging Face einen unbefugten Zugriff auf ihre Spaces-Plattform, speziell auf Spaces Secrets. Es wird vermutet, dass ein Teil dieser Secrets unautorisiert eingesehen wurde. Spaces Secrets sind vertrauliche Informationen, die in der Hugging Face Spaces Plattform gespeichert werden. Diese können API-Schlüssel, Tokens, Zugangsdaten oder andere sensible Daten umfassen, die notwendig sind, um Anwendungen und Dienste innerhalb der Spaces-Plattform sicher zu betreiben und zu integrieren. Sie werden typischerweise verwendet, um den Zugriff auf bestimmte Funktionen oder Daten zu steuern und sicherzustellen, dass nur autorisierte Benutzer und Systeme Zugriff auf diese Ressourcen haben.

Read More

Datenleck beim Film-Piraterie-Dienst MovieBoxPro

Ein Hacker behauptet in Besitz von 6.056.814 Datensätze des Film-Piraterie-Dienstes MovieBoxPro aus dem April 2024 zu sein, die er über eine anfällige API auf der Zahlungsseite erlangt hatte. Die Daten beinhalten Benutzer-ID (UID), E-Mail-Adressen, Vollständige Namen und VIP-Mitgliedschaftsdauer.

Read More