Motores de reservas - hacen girar el mundo de los viajes y la hospitalidad. Se estima que este mercado supera los 500 mil millones de dólares y se mueve rápidamente. Estos motores son una parte crítica y casi invisible de la industria de la hospitalidad, y su seguridad es esencial para proteger la información personal y financiera de los huéspedes. Ocasionalmente, la tecnología de reservas cae víctima de actores amenazantes motivados que aprovechan las vulnerabilidades en el código para acceder a información sensible del cliente, como nombre, dirección, dirección de correo electrónico, número de teléfono, número de tarjeta de crédito o débito, fecha de vencimiento y código de seguridad o código de verificación de la tarjeta.
Este fue el caso de un ciberataque descubierto en 2021 contra el motor de reservas en línea IRM Next Generation construido por Resort Data Processing, Inc. ("RDP"). Es probable que este ataque no sea único entre la amplia gama de motores de reservas en línea construidos por varias otras empresas de software. Sin embargo, está estrechamente relacionado con una investigación en la que Bitdefender fue llamado para ayudar. Casualmente, los resultados de la investigación también nos ayudaron a comprender cómo tuvo lugar el ciberataque de 2021 contra IRMNg y estamos redactando nuestros hallazgos en este informe para ayudar a otras entidades comerciales a mantenerse protegidas.
Ataque a simple vista
Mientras investigaban actividad anómala, los investigadores de Bitdefender encontraron archivos maliciosos en servidores que ejecutaban el motor de reservas en línea IRM Next Generation construido por Resort Data Processing, Inc. Nuestra investigación revela la magnitud del ataque, pero también describe varias vulnerabilidades en el motor de reservas en línea IRM Next Generation que fueron identificadas, catalogadas y reportadas de manera responsable al proveedor vulnerable, según la línea de tiempo que se detalla a continuación.
Vulnerabilidades identificadas
- • CVE-2023-39420 - Uso de credenciales codificadas en RDPCore.dll (CWE-798)
- • CVE-2023-39421 - Uso de credenciales codificadas en RDPWin.dll (CWE-798)
- • CVE-2023-39422 - Uso de credenciales codificadas en puntos finales /irmdata/api/ (CWE-798)
- • CVE-2023-39423 - Neutralización incorrecta de elementos especiales utilizados en un comando SQL en RDPData.dll (CWE-89)
- • CVE-2023-39424 - Neutralización incorrecta de elementos especiales en la salida utilizada por un componente descendente ('Injection') en RDPngFileUpload.dll (CWE-74)
Cronología de divulgación
- • Abril-Mayo de 2023: Bitdefender identifica problemas en varios componentes de la aplicación IRMNg durante una investigación de infección por malware.
- • 23 de mayo de 2023 - Bitdefender realiza un primer intento de contacto con el vendedor vulnerable a través del correo electrónico
- • 30 de mayo de 2023 - Dado que el intento anterior no produjo resultados, Bitdefender hace un segundo intento a través de correo electrónico.
- • 2 de agosto de 2023 - Bitdefender asigna números CVE a las vulnerabilidades identificadas.
- • 16 de agosto de 2023 - Bitdefender continúa intentando comunicarse con el proveedor vulnerable a través de Twitter y Facebook. Nuestros esfuerzos nuevamente no son reconocidos.
- • 7 de septiembre de 2023 - Este informe se hace público como parte de nuestro programa de divulgación responsable.
Divulgación responsable
Como Autoridad de Numeración CVE, comprendemos la importancia de la divulgación de vulnerabilidades. En la última década, hemos enviado (y recibido) numerosas notificaciones de vulnerabilidades. En esta ocasión, nuestros esfuerzos por ponernos en contacto con el proveedor vulnerable quedaron sin respuesta. Dado que los ciberdelincuentes están utilizando activamente estas vulnerabilidades y que nuestra investigación reveló la existencia de varias víctimas más, decidimos hacer pública esta información.
Instamos a todas las empresas que utilicen versiones vulnerables del motor IRMNG a que evalúen el impacto de estas vulnerabilidades y tomen las medidas oportunas (también puede leer un análisis en profundidad del ataque en nuestro blog Business Insights).
Indicadores de compromiso
Los usuarios de Bitdefender Advanced Threat Intelligence tienen a su disposición una lista actualizada y completa de indicadores de compromiso. Los indicadores de compromiso conocidos actualmente pueden consultarse en el documento de investigación completo disponible más abajo: