Bitdefender ha rilasciato una ricerca su una campagna attiva di hacker che prende di mira il settore alberghiero e utilizza un motore di prenotazione vulnerabile chiamato IRM-NG sviluppato da Resort Data Processing (RDP) per estorcere dati delle carte di credito, password e informazioni personali.
Nel settore dell’accoglienza, il software per la gestione degli affitti turistici è diventato un must per hotel, resort e piccole imprese, semplificando le prenotazioni, le interazioni con gli ospiti e la gestione della proprietà. Sebbene questo software possa sembrare incentrato sulle prenotazioni, contiene dati preziosi come le informazioni sulle carte di credito, le preferenze degli ospiti e le comunicazioni. Questi dati sono un obiettivo primario per gli hacker in cerca di guadagni finanziari o di accessi non autorizzati.
Per gli hacker particolarmente interessanti sono i dati delle carte di credito che rappresentano infatti il 41% delle violazioni nel settore dell’accoglienza (fonte: report Verizon Data Breach Investigations). La combinazione del notevole volume di transazioni del settore dell’accoglienza e l’integrazione dei gateway di pagamento ne fanno un obiettivo redditizio.
In questa campagna attiva individuata da Bitdefender, gli hacker utilizzano le vulnerabilità del motore di prenotazione IRM-NG in combinazione con backdoor e tecniche per compromettere la convalida delle password lato client (non sui server RDP). Il motore IRM-NG consente ai dipendenti di RDP di accedere ai propri clienti utilizzando un account particolare di amministrazione, con la convalida della password effettuata lato client e non sui server RDP.
L’algoritmo di convalida della password si trova nella Dynamic Link Library (DLL) ed è debole. Se la DLL viene invertita, gli hacker possono generare la password giornaliera e autenticarsi con successo a qualsiasi resort/hotel e a diverse altre funzioni dell’applicazione, tra cui la gestione dei contenuti e il debug (che consente di leggere i log).
Bitdefender ha tentato di contattare RDP più volte, ma non ha ottenuto risposta.
La difesa contro gli attacchi moderni, come in questo caso, dovrebbe incorporare un’architettura di difesa approfondita e includere la prevenzione, il rilevamento e la risposta alle minacce attraverso soluzioni come XDR/EDR o un servizio di sicurezza gestito come MDR.
