FlyCASS: легкий обход контроля в аэропорту стал реальностью

Исследователи обнаружили уязвимость в системе безопасности воздушного транспорта, которая позволяла неавторизованным лицам обойти проверку безопасности в аэропортах и получить доступ к кабинам пилотов.

В ходе исследования, Иан Кэрролл и Сэм Карри выявили уязвимость в FlyCASS, стороннем веб-сервисе, который используют некоторые авиакомпании для управления программой Known Crewmember (KCM) и Cockpit Access Security System (CASS). Программа KCM позволяет пилотам и бортпроводникам пропускать процедуру досмотра (идентификация происходит через предъявление штрих-кода или номера сотрудника), а система CASS пропускает пилотов в кабину самолета.

Система KCM, которая управляется компанией ARINC (дочерней компанией Collins Aerospace), проверяет учётные данные сотрудников авиакомпаний через онлайн-платформу. Процесс включает в себя сканирование штрих-кода или ввод номера сотрудника, после чего система сверяет данные с базой авиакомпании, предоставляя доступ без необходимости прохождения проверки безопасности. Аналогичным образом система CASS подтверждает право пилотов на доступ в кабину пилотов, когда им нужно совершить перелёт.

Исследователи обнаружили, что система авторизации FlyCASS была подвержена атаке с использованием SQL-инъекции. SQL-уязвимость позволила экспертам войти в систему под видом администратора одной из авиакомпаний-партнеров, Air Transport International, и манипулировать данными сотрудников в системе.

Специалисты добавили фиктивного сотрудника с именем «Test TestOnly» и предоставили этому аккаунту доступ к KCM и CASS, что позволило профилю «пропускать проверки безопасности и получать доступ к кабинам пилотов коммерческих авиалайнеров».

Понимая серьёзность обнаруженной уязвимости, исследователи связались с Министерством внутренней безопасности США (DHS) 23 апреля. Специалисты решили не связываться с сайтом FlyCASS напрямую, поскольку, по всей видимости, им управлял один человек, и опасались, что раскрытие информации встревожит представителей сервиса.

Министерство внутренней безопасности признало серьёзность проблемы и сообщило, что сервис FlyCASS был отключён от системы KCM/CASS в качестве меры предосторожности 7 мая. Вскоре уязвимость была устранена.

Дальнейшие попытки координации в рамках безопасного раскрытия уязвимости столкнулись с трудностями после того, как DHS перестало отвечать на письма исследователей. Пресс-служба Администрации транспортной безопасности (TSA) также выпустила заявление, в котором отрицала влияние уязвимости, утверждая, что процесс проверки системы предотвращает несанкционированный доступ. Впоследствии TSA удалило с сайта информацию, которая противоречила их заявлениям.

По словам Кэрролла, уязвимость могла бы привести к более масштабным нарушениям безопасности, таким как изменение существующих профилей членов KCM для обхода проверок новых участников.

После публикации отчёта исследователей, эксперт Алесандро Ортиз обнаружил, что FlyCASS также подвергся атаке с использованием программы-вымогателя MedusaLocker в феврале. Это подтвердил анализ Joe Sandbox, который показал зашифрованные файлы и записку с требованием выкупа.

В TSA также заявили, что никакие данные или системы правительства не были скомпрометированы, а также что не было никаких последствий для транспортной безопасности. TSA подчеркнула, что не полагается исключительно на базу данных для проверки личности членов экипажа и что у ведомства есть процедуры для подтверждения личности сотрудников, которым разрешён доступ в зоны повышенной безопасности в аэропортах.