Ошибка в системе оголяет защиту авиакомпаний.
Исследователи обнаружили уязвимость в системе безопасности воздушного транспорта, которая позволяла неавторизованным лицам обойти проверку безопасности в аэропортах и получить доступ к кабинам пилотов.
В ходе исследования, Иан Кэрролл и Сэм Карри выявили уязвимость в FlyCASS, стороннем веб-сервисе, который используют некоторые авиакомпании для управления программой Known Crewmember (KCM) и Cockpit Access Security System (CASS). Программа KCM позволяет пилотам и бортпроводникам пропускать процедуру досмотра (идентификация происходит через предъявление штрих-кода или номера сотрудника), а система CASS пропускает пилотов в кабину самолета.
Система KCM, которая управляется компанией ARINC (дочерней компанией Collins Aerospace), проверяет учётные данные сотрудников авиакомпаний через онлайн-платформу. Процесс включает в себя сканирование штрих-кода или ввод номера сотрудника, после чего система сверяет данные с базой авиакомпании, предоставляя доступ без необходимости прохождения проверки безопасности. Аналогичным образом система CASS подтверждает право пилотов на доступ в кабину пилотов, когда им нужно совершить перелёт.
Исследователи обнаружили, что система авторизации FlyCASS была подвержена атаке с использованием SQL-инъекции. SQL-уязвимость позволила экспертам войти в систему под видом администратора одной из авиакомпаний-партнеров, Air Transport International, и манипулировать данными сотрудников в системе.
Специалисты добавили фиктивного сотрудника с именем «Test TestOnly» и предоставили этому аккаунту доступ к KCM и CASS, что позволило профилю «пропускать проверки безопасности и получать доступ к кабинам пилотов коммерческих авиалайнеров».
Понимая серьёзность обнаруженной уязвимости, исследователи связались с Министерством внутренней безопасности США (DHS) 23 апреля. Специалисты решили не связываться с сайтом FlyCASS напрямую, поскольку, по всей видимости, им управлял один человек, и опасались, что раскрытие информации встревожит представителей сервиса.
Министерство внутренней безопасности признало серьёзность проблемы и сообщило, что сервис FlyCASS был отключён от системы KCM/CASS в качестве меры предосторожности 7 мая. Вскоре уязвимость была устранена.
Дальнейшие попытки координации в рамках безопасного раскрытия уязвимости столкнулись с трудностями после того, как DHS перестало отвечать на письма исследователей. Пресс-служба Администрации транспортной безопасности (TSA) также выпустила заявление, в котором отрицала влияние уязвимости, утверждая, что процесс проверки системы предотвращает несанкционированный доступ. Впоследствии TSA удалило с сайта информацию, которая противоречила их заявлениям.
По словам Кэрролла, уязвимость могла бы привести к более масштабным нарушениям безопасности, таким как изменение существующих профилей членов KCM для обхода проверок новых участников.
После публикации отчёта исследователей, эксперт Алесандро Ортиз обнаружил, что FlyCASS также подвергся атаке с использованием программы-вымогателя MedusaLocker в феврале. Это подтвердил анализ Joe Sandbox, который показал зашифрованные файлы и записку с требованием выкупа.
В TSA также заявили, что никакие данные или системы правительства не были скомпрометированы, а также что не было никаких последствий для транспортной безопасности. TSA подчеркнула, что не полагается исключительно на базу данных для проверки личности членов экипажа и что у ведомства есть процедуры для подтверждения личности сотрудников, которым разрешён доступ в зоны повышенной безопасности в аэропортах.
Наш канал — питательная среда для вашего интеллекта