Am 5. Juni 2024 berichtete die Pentagrid AG über eine Sicherheitslücke bei einem Hotel-Check-in-Terminal, das den Ariane Allegro Scenario Player im Kiosk-Modus nutzt. Diese Sicherheitslücke wurde während eines Bedrohungsmodellierungs-Workshops in einem neuen Hotel entdeckt, das keine Check-in-Mitarbeiter hat und vollständig auf Selbstbedienungsterminals setzt. Die Lücke erhielt die Bewertung CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, 6.8 / 10.
Das Check-in-Terminal stürzte ab, als ein einzelnes Anführungszeichen in das Suchfeld für Gästereservierungen eingegeben wurde. Dieser Absturz ermöglichte den Zugriff auf den zugrunde liegenden Windows-Desktop. Laut Ariane Systems war eine veraltete Softwareversion installiert. Durch den Zugriff auf den Windows-Desktop könnten Angreifer auf das Hotelnetzwerk und auf dem Terminal gespeicherte Daten, einschließlich personenbezogener Daten (PII), zugreifen sowie Programmcode injizieren und ausführen, um z.B. Zimmerschlüssel für andere Räume zu erstellen.
Betroffenen Hotels wird empfohlen, die aktuelle Version des Ariane Allegro Scenario Players zu installieren und die Check-in-Terminals zu isolieren, um Angriffe auf das Hotelnetzwerk zu verhindern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: