- 13,579
- 20
- 8 Ноя 2022
Ошибка в системе оголяет защиту авиакомпаний.
Исследователи обнаружили уязвимость в системе безопасности воздушного транспорта, которая позволяла неавторизованным лицам обойти проверку безопасности в аэропортах и получить доступ к кабинам пилотов.
В ходе исследования, Для просмотра ссылки Войдиили Зарегистрируйся и Сэм Карри Для просмотра ссылки Войди или Зарегистрируйся уязвимость в FlyCASS, стороннем веб-сервисе, который используют некоторые авиакомпании для управления программой Known Crewmember (KCM) и Cockpit Access Security System (CASS). Программа KCM позволяет пилотам и бортпроводникам пропускать процедуру досмотра (идентификация происходит через предъявление штрих-кода или номера сотрудника), а система CASS пропускает пилотов в кабину самолета.
Система KCM, которая управляется компанией ARINC (дочерней компанией Collins Aerospace), проверяет учётные данные сотрудников авиакомпаний через онлайн-платформу. Процесс включает в себя сканирование штрих-кода или ввод номера сотрудника, после чего система сверяет данные с базой авиакомпании, предоставляя доступ без необходимости прохождения проверки безопасности. Аналогичным образом система CASS подтверждает право пилотов на доступ в кабину пилотов, когда им нужно совершить перелёт.
Исследователи обнаружили, что система авторизации FlyCASS была подвержена атаке с использованием SQL-инъекции. SQL-уязвимость позволила экспертам войти в систему под видом администратора одной из авиакомпаний-партнеров, Air Transport International, и манипулировать данными сотрудников в системе.
Специалисты добавили фиктивного сотрудника с именем «Test TestOnly» и предоставили этому аккаунту доступ к KCM и CASS, что позволило профилю «пропускать проверки безопасности и получать доступ к кабинам пилотов коммерческих авиалайнеров».
Понимая серьёзность обнаруженной уязвимости, исследователи связались с Министерством внутренней безопасности США (DHS) 23 апреля. Специалисты решили не связываться с сайтом FlyCASS напрямую, поскольку, по всей видимости, им управлял один человек, и опасались, что раскрытие информации встревожит представителей сервиса.
Министерство внутренней безопасности признало серьёзность проблемы и сообщило, что сервис FlyCASS был отключён от системы KCM/CASS в качестве меры предосторожности 7 мая. Вскоре уязвимость была устранена.
Дальнейшие попытки координации в рамках безопасного раскрытия уязвимости столкнулись с трудностями после того, как DHS перестало отвечать на письма исследователей. Пресс-служба Администрации транспортной безопасности (TSA) также выпустила заявление, в котором отрицала влияние уязвимости, утверждая, что процесс проверки системы предотвращает несанкционированный доступ. Впоследствии TSA Для просмотра ссылки Войдиили Зарегистрируйся с сайта информацию, которая противоречила их заявлениям.
По словам Кэрролла, уязвимость могла бы привести к более масштабным нарушениям безопасности, таким как изменение существующих профилей членов KCM для обхода проверок новых участников.
После публикации отчёта исследователей, эксперт Алесандро Ортиз Для просмотра ссылки Войдиили Зарегистрируйся что FlyCASS также подвергся атаке с использованием программы-вымогателя MedusaLocker в феврале. Это подтвердил анализ Для просмотра ссылки Войди или Зарегистрируйся который показал зашифрованные файлы и записку с требованием выкупа.
В TSA также заявили, что никакие данные или системы правительства не были скомпрометированы, а также что не было никаких последствий для транспортной безопасности. TSA подчеркнула, что не полагается исключительно на базу данных для проверки личности членов экипажа и что у ведомства есть процедуры для подтверждения личности сотрудников, которым разрешён доступ в зоны повышенной безопасности в аэропортах.
Исследователи обнаружили уязвимость в системе безопасности воздушного транспорта, которая позволяла неавторизованным лицам обойти проверку безопасности в аэропортах и получить доступ к кабинам пилотов.
В ходе исследования, Для просмотра ссылки Войди
Система KCM, которая управляется компанией ARINC (дочерней компанией Collins Aerospace), проверяет учётные данные сотрудников авиакомпаний через онлайн-платформу. Процесс включает в себя сканирование штрих-кода или ввод номера сотрудника, после чего система сверяет данные с базой авиакомпании, предоставляя доступ без необходимости прохождения проверки безопасности. Аналогичным образом система CASS подтверждает право пилотов на доступ в кабину пилотов, когда им нужно совершить перелёт.
Исследователи обнаружили, что система авторизации FlyCASS была подвержена атаке с использованием SQL-инъекции. SQL-уязвимость позволила экспертам войти в систему под видом администратора одной из авиакомпаний-партнеров, Air Transport International, и манипулировать данными сотрудников в системе.
Специалисты добавили фиктивного сотрудника с именем «Test TestOnly» и предоставили этому аккаунту доступ к KCM и CASS, что позволило профилю «пропускать проверки безопасности и получать доступ к кабинам пилотов коммерческих авиалайнеров».
Понимая серьёзность обнаруженной уязвимости, исследователи связались с Министерством внутренней безопасности США (DHS) 23 апреля. Специалисты решили не связываться с сайтом FlyCASS напрямую, поскольку, по всей видимости, им управлял один человек, и опасались, что раскрытие информации встревожит представителей сервиса.
Министерство внутренней безопасности признало серьёзность проблемы и сообщило, что сервис FlyCASS был отключён от системы KCM/CASS в качестве меры предосторожности 7 мая. Вскоре уязвимость была устранена.
Дальнейшие попытки координации в рамках безопасного раскрытия уязвимости столкнулись с трудностями после того, как DHS перестало отвечать на письма исследователей. Пресс-служба Администрации транспортной безопасности (TSA) также выпустила заявление, в котором отрицала влияние уязвимости, утверждая, что процесс проверки системы предотвращает несанкционированный доступ. Впоследствии TSA Для просмотра ссылки Войди
По словам Кэрролла, уязвимость могла бы привести к более масштабным нарушениям безопасности, таким как изменение существующих профилей членов KCM для обхода проверок новых участников.
После публикации отчёта исследователей, эксперт Алесандро Ортиз Для просмотра ссылки Войди
В TSA также заявили, что никакие данные или системы правительства не были скомпрометированы, а также что не было никаких последствий для транспортной безопасности. TSA подчеркнула, что не полагается исключительно на базу данных для проверки личности членов экипажа и что у ведомства есть процедуры для подтверждения личности сотрудников, которым разрешён доступ в зоны повышенной безопасности в аэропортах.
- Источник новости
- www.securitylab.ru
