TUR-INFO.pl | Serwis informacyjny branży turystycznej
ZAJRZYJ DO NAS NA: TUR-INFO.PL na Facebook TUR-INFO.PL na Twitter

Niebezpieczny system rezerwacyjny

Niedawno ujawniono istnienie wielu podatności na atak hakerski w jednym z systemów rezerwacyjnych, o których firma wie od miesięcy, ale ich nie naprawia. Firma Resort Data Processing, Inc. z USA, działająca od 35 lat jak sama podaje, na szczęście oferuje systemu w Polsce.


Wszystko zaczęło się w 2021 roku, gdy został wykryty cyberatak na silnik rezerwacji online IRM Next Generation zbudowany właśnie przez Resort Data Processing, Inc. ("RDP"). Zespół Bitdefender postanowił podzielić się wynikami uzyskanymi podczas badania tego cyberataku, aby pomóc innym podmiotom gospodarczym zachować ochronę. Badając anomalną aktywność, badacze Bitdefender znaleźli złośliwe pliki na serwerach i zarysowuje kilka luk w zabezpieczeniach mechanizmu rezerwacji online IRM Next Generation, które zostały zidentyfikowane, skatalogowane oraz zgłoszone podatnemu dostawcy zgodnie z harmonogramem poniżej.

Zidentyfikowane podatności:
CVE-2023-39420 Użycie zakodowanych na stałe poświadczeń w pliku RDPCore.dll (CWE-798)
CVE-2023-39421 Użycie zakodowanych na stałe poświadczeń w pliku RDPWin.dll CWE-798)
CVE-2023-39422 Użycie zakodowanych na stałe poświadczeń w punktach końcowych /irmdata/api/ (CWE-798)
CVE-2023-39423 Niewłaściwa neutralizacja elementów specjalnych używanych w poleceniu SQL w pliku RDPData.dll (CWE-89)
CVE-2023-39424 Niewłaściwa neutralizacja specjalnych elementów na wyjściu używanych przez dalszy komponent ("wstrzykiwanie") w pliku RDPngFileUpload.dll (CWE-74)
Powyższe podatności są dość poważne i wynikają z błędów programistów. Mogą zostać użyte zarówno do kradnięcia danych z systemu, jak i do pobrania np. dodatkowych opłat od gości (co może skończyć się np. kradzieżą numeru karty kredytowej i/lub kradzieżą danych osobowych).

Informacje o problemie Bitdefender przekazał 23 maja do firmy RDP, lecz nie przyniosło to skutku. Podjęto kolejne próby skontaktowania się z firmą i wobec braku reakcji RDP, Bitdefender 7 września ogłosił informacje o problemie publicznie, aby klienci klientów RDP mieli szanse uniknąć ataków.




Komentarze

(kiedy jest to możliwe, sugerujemy podpisanie się)

(akceptacja regulaminu)


Tagi:
system rezerwacyjny luka bezpieczeństwa błąd wyłudzenie karta kredytowa kradzież




Ta strona przetwarza dane osobowe oraz używa COOKIES. Szczegóły przetwarzania danych osobowych są opisane w polityce prywatności. Korzystając z tej strony wyrażasz zgodę na wykorzystywanie cookies zgodnie z ustawieniami Twojej przeglądarki i akceptujesz regulamin strony. Wszelkie szczegóły w regulaminie, polityce prywatności oraz polityce cookies.
  Akceptuję