Исследователи в области безопасности обнаружили уязвимость в одной из ключевых систем безопасности на воздушном транспорте, которая позволяет неавторизованным лицам обходить досмотр в аэропорту и получать доступ в кабины самолетов.
Исследователи Ян Кэрролл и Сэм Карри обнаружили уязвимость в FlyCASS, стороннем веб-сервисе, который некоторые авиакомпании используют для управления программой Known Crewmember (KCM) и системой Cockpit Access Security System (CASS). KCM - это инициатива Управления транспортной безопасности (TSA), позволяющая пилотам и бортпроводникам не проходить досмотр, а CASS дает возможность авторизованным пилотам использовать в путешествиях кресла в кабинах.
Система KCM, управляемая ARINC (дочерней компанией Collins Aerospace), проверяет полномочия сотрудников авиакомпании через онлайн-платформу. Процесс включает в себя сканирование штрих-кода KCM или ввод номера сотрудника, а затем перекрестную проверку по базе данных авиакомпании для предоставления доступа, не требующего досмотра. Аналогичным образом система CASS проверяет пилотов на доступ в кабину, когда им нужно отправиться на работу или в путешествие.
Исследователи обнаружили, что система регистрации FlyCASS подвержена SQL-инъекции - уязвимости, которая позволяет злоумышленникам вставлять SQL-запросы в базу данных. Используя этот недостаток, они могли войти в систему под именем администратора участвующей в проекте авиакомпании Air Transport International и манипулировать данными сотрудников в системе.
Они добавили фиктивного сотрудника «Test TestOnly» и предоставили этой учетной записи доступ к KCM и CASS, что фактически позволило им «пропустить проверку безопасности и получить доступ к кабинам пилотов коммерческих авиалайнеров».
«Любой человек, обладающий базовыми знаниями об SQL-инъекциях, мог зайти на этот сайт и добавить в KCM и CASS любого желающего, что позволяло ему как пропустить проверку безопасности, так и получить доступ к кабинам пилотов коммерческих авиалайнеров», - сказал Кэрролл.
In April, @samwcyo and I discovered a way to bypass airport security via SQL injection in a database of crewmembers. Unfortunately, DHS ghosted us after we disclosed the issue, and the TSA attempted to cover up what we found.
— Ian Carroll (@iangcarroll) August 29, 2024
Here is our writeup: https://t.co/g9orwwgoxt
Осознав серьезность проблемы, исследователи немедленно начали процесс раскрытия информации, связавшись с Министерством внутренней безопасности (DHS) 23 апреля 2024 года. Исследователи решили не связываться с сайтом FlyCASS напрямую, поскольку, как оказалось, им управляет один человек, и они опасались, что раскрытие информации вызовет у него тревогу.
DHS ответило, признав серьезность уязвимости, и подтвердило, что FlyCASS была отключена от системы KCM/CASS 7 мая 2024 года в качестве меры предосторожности. Вскоре после этого уязвимость в системе FyCASS была устранена.
Однако усилия по дальнейшей координации безопасного раскрытия уязвимости натолкнулись на сопротивление после того, как DHS перестало отвечать на их электронные письма.
Пресс-служба TSA также направила исследователям заявление, в котором отрицала влияние уязвимости, утверждая, что процесс проверки в системе предотвращает несанкционированный доступ. После получения информации от исследователей TSA также тихо удалило со своего сайта информацию, которая противоречила его заявлениям.
«После того как мы сообщили об этом TSA, они удалили раздел своего сайта, в котором упоминается ручной ввод идентификатора сотрудника, и не ответили на наше исправление. Мы подтвердили, что интерфейс, используемый TSO, по-прежнему позволяет вводить идентификаторы сотрудников вручную», - сказал Кэрролл.
Кэрролл также отметил, что дефект мог привести к более масштабным нарушениям безопасности, например, к изменению существующих профилей членов KCM, чтобы обойти любые процессы проверки новых членов.
После публикации отчета исследователей другой исследователь по имени Алесандро Ортис обнаружил, что FlyCASS, похоже, подвергся атаке вымогателей MedusaLocker в феврале 2024 года, а анализ Joe Sandbox показал наличие зашифрованных файлов и записки с выкупом.
The vendor's website might have also been ransomware'd back in February 2024? https://t.co/F9yK3I88JH
— Alesandro Ortiz 🇵🇷🏳️🌈 (@AlesandroOrtizR) August 29, 2024
Great, scary find.
«В апреле TSA стало известно об обнаружении уязвимости в базе данных третьей стороны, содержащей информацию о членах экипажей самолетов, и о том, что в результате проверки этой уязвимости в список членов экипажа в базе данных было добавлено непроверенное имя. Никакие правительственные данные или системы не были скомпрометированы, и эти действия не повлияли на транспортную безопасность», - заявил BleepingComputer пресс-секретарь TSA Р. Картер Лэнгстон.
«TSA не полагается исключительно на эту базу данных для проверки личности членов экипажа. В TSA существуют процедуры проверки личности членов экипажа, и только проверенным членам экипажа разрешен доступ в безопасную зону в аэропортах». TSA сотрудничало с заинтересованными сторонами для устранения всех выявленных киберуязвимостей».
Ранее сегодня BleepingComputer также связался с Министерством здравоохранения, но его представитель не сразу смог получить комментарий.
43Новая кампания по распространению вредоносного ПО распространяет ранее недокументированный бэкдор под названием «Волан-де-Морт» среди организаций по всему миру, выдавая себя за налоговые агентства из США, Европы и Азии.
50GitHub используется для распространения вредоносной программы Lumma Stealer, похищающей информацию, в виде поддельных исправлений, опубликованных в комментариях к проекту.
65Популярный проект Docker-OSX был удален из Docker Hub после того, как компания Apple подала запрос на удаление DMCA (Digital Millennium Copyright Act), утверждая, что он нарушает ее авторские права.
40Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии