圖片來源: 

Trustwave

安全研究人員發現歐美知名飯店Kiosk設備商Uniguest管理資料庫外洩管理員、設備、產品金鑰等重要資訊,使飯店客戶信用卡或其他資料可能落入駭客之手。

Uniguest是資訊設備供應商,其Kiosk產品在歐美地區飯店、機場及醫院之間頗為普及,旅客在Kiosk插入信用卡後,可收發電子郵件、租車、甚至買機票。該公司並為企業客戶統包系統軟、硬體的管理。安全廠商TrustWave安全研究人員Adrian Pruteanu,近日發現Uniguest舊款系統出現重大漏洞曝露後端資料庫憑證,可能讓駭客竊取客戶資料。

研究人員發現,Uniguest一個可被Google搜尋找到的網站上,存放該公司技師管理所有kiosk的工具及使用文件。其中名為SystemSleuth的軟體,是部署於舊式kiosk的應用程式,主要用於蒐集kiosk資訊,包括產品金鑰、資產標籤、密碼等等資訊。這些資訊會傳送到該公司的Salesforce API上。

SystemSleuth是以C#寫成,可以dnSpy等工具反組譯成原始碼。研究人員藉此發現API憑證資料寫死在這款app的程式碼中。研究人員還發現Salesforce API可以SOAP協定存取,因而以開源工具進行測試查詢而得到session key。最後研究人員得以存取所有Uniguest雲端資料庫,包括管理員、路由器和BIOS密碼、產品金鑰及其他敏感資訊。只要配合鍵盤側錄、遠端存取木馬(RAT)和其他惡意程式,即可蒐集所有付費使用這些kiosk進行收發郵件、訂車、訂票的飯店住客,甚至機場旅客的信用卡資訊。

Pruteanu指出,部署於公共場合的Windows機器安全防護不易,Active Directory群組政策物件(GPO)或Explorer shells往往很容易就被駭客輕鬆繞過,而得以存取整個系統。

經研究人員通報後,Uniguest已經將公開曝露的網站移到需驗證的portal,並修補所有產品漏洞,包括關閉API憑證。

研究人員並建議企業不要使用類似的app,如果一定要用,則應使用唯寫(write-only)API金鑰、個別獨立的客戶資料庫,並且避免重覆使用API金鑰或憑證於不同系統上。


Advertisement

更多 iThome相關內容