Un atacator ar fi putut adăuga piloți falși la listă folosind injecția SQL
De ce contează: Cercetătorii în domeniul securității au descoperit o vulnerabilitate majoră care ar fi putut permite oricui să ocolească securitatea aeroportului și chiar să acceseze cockpiturile avioanelor. Defectul a fost găsit în sistemul de conectare utilizat de Administrația de Securitate a Transporturilor pentru a verifica membrii echipajului companiei aeriene la punctele de control.
Povestea a început în aprilie, când cercetătorii Ian Carroll și Sam Curry explorau un site web al unei terțe părți numit FlyCASS. Acest furnizor oferă companiilor aeriene mai mici acces la bazele de date ale TSA Known Crewmember (KCM) și Cockpit Access Security System (CASS). În timp ce testau pagina de conectare a site-ului, au observat că apare o eroare MySQL revelatoare după inserarea unui apostrof – un semn clasic al unei erori de injectare SQL.
Pentru cei nefamiliarizați, injecția SQL este o tehnică prin care codul rău intenționat este inserat în interogările aplicației pentru a manipula în mod ilicit baza de date backend. În acest caz, cercetătorii și-au dat seama că FlyCASS interpolează numele de utilizator direct în interogările sale SQL, făcându-l vulnerabil la exploatare.
Folosind acest defect, perechea a reușit să se conecteze ca administrator pentru o companie aeriană. Odată înăuntru, nu au găsit alte controale de securitate la locul lor, dându-le în esență frâu liber pentru a crea conturi false pentru echipaj, cu numere de angajați și acte de identitate cu fotografie.
În aprilie, @samwcyo și cu mine am descoperit o modalitate de a ocoli securitatea aeroportului prin injecție SQL într-o bază de date de membri ai echipajului. Din păcate, DHS ne-a făcut fantomă după ce am dezvăluit problema, iar TSA a încercat să acopere ceea ce am găsit.
Iată articolul nostru: https://t.co/g9orwwgoxt
– Ian Carroll (@iangcarroll) 29 august 2024
Carrol a adăugat că oricine are „cunoștințe de bază” despre injectarea SQL ar putea exploata eroarea și să obțină acces la site.
După ce și-au dat seama de gravitatea problemei, Carroll și Curry au raportat-o Departamentului de Securitate Internă pe 23 aprilie. Agenția-mamă a TSA a confirmat că vulnerabilitatea este legitimă și a deconectat FlyCASS de la bazele de date federale pe 7 mai, ca măsură temporară.
Din fericire, vulnerabilitatea a fost remediată la scurt timp pe FlyCASS.
Cu toate acestea, procesul de dezvăluire a întâmpinat un eșec atunci când DHS a încetat brusc să răspundă la încercările ulterioare de coordonare. Cercetătorii susțin că biroul de presă al TSA a emis „declarații periculos de incorecte” despre vulnerabilitate.
Între timp, purtătorul de cuvânt al TSA, R. Carter Langston, a declarat că nu au fost compromise date sau sisteme guvernamentale din cauza vulnerabilității. El a adăugat că agenția nu se bazează exclusiv pe baza de date și are proceduri în vigoare „pentru a verifica identitatea membrilor echipajului și numai membrii echipajului verificați li se permite accesul în zonele securizate din aeroporturi”.
Credit imagine: Matthew Turner