Saugumo tyrinėtojai aptiko pagrindinės oro transporto saugumo sistemos pažeidžiamumą, dėl kurio pašaliniai asmenys galėjo apeiti oro uosto saugumo patikrinimus ir patekti į orlaivių kabinas.
Tyrėjai Ianas Carrollas ir Samas Curry atrado FlyCASS – trečiosios šalies žiniatinklio paslaugos, kurią kai kurios oro linijos naudoja žinomo įgulos nario (KCM) programai ir kabinos prieigos apsaugos sistemai (CASS) valdyti – pažeidžiamumą. KCM yra Transporto saugumo administracijos (TSA) iniciatyva, leidžianti pilotams ir skrydžio palydovams praleisti saugumo patikrą, o CASS leidžia įgaliotiems pilotams naudotis sėdimomis sėdynėmis kabinose keliaujant.
KCM sistema, kurią valdo ARINC (Collins Aerospace dukterinė įmonė), patikrina oro linijų darbuotojų kredencialus per internetinę platformą. Procesas apima KCM brūkšninio kodo nuskaitymą arba darbuotojo numerio įvedimą, tada kryžminį patikrinimą su oro linijų duomenų baze, kad būtų suteikta prieiga nereikalaujant saugumo patikros. Panašiai CASS sistema tikrina, ar pilotai gali patekti į kabinos sėdimą vietą, kai jiems reikia važiuoti į darbą ir atgal arba keliauti.
Tyrėjai išsiaiškino, kad FlyCASS prisijungimo sistema buvo jautri SQL injekcijai – pažeidžiamumui, leidžiančiam užpuolikams įterpti SQL teiginius kenkėjiškoms duomenų bazės užklausoms. Išnaudodami šį trūkumą, jie galėtų prisijungti kaip dalyvaujančios oro linijų bendrovės „Air Transport International“ administratoriai ir sistemoje manipuliuoti darbuotojų duomenimis.
Jie pridėjo fiktyvų darbuotoją „Test TestOnly“ ir suteikė šiai paskyrai prieigą prie KCM ir CASS, o tai leido jiems „praleisti saugumo patikrą ir tada patekti į komercinių lėktuvų kabinas“.
„Kiekvienas, turintis pagrindinių žinių apie SQL injekciją, gali prisijungti prie šios svetainės ir pridėti bet ką, ką tik norėjo, prie KCM ir CASS, leisdamas sau praleisti saugumo patikrą ir tada patekti į komercinių lėktuvų kabinas“, – sakė Carrollas.
Supratę problemos rimtumą, tyrėjai nedelsdami pradėjo atskleidimo procesą ir 2024 m. balandžio 23 d. susisiekė su Tėvynės saugumo departamentu (VSD). Tyrėjai nusprendė nesikreipti tiesiogiai į FlyCASS svetainę, nes atrodė, kad ją valdo vienas asmenį ir bijojo, kad paviešinimas sukels jiems nerimą.
DHS reagavo, pripažindama pažeidžiamumo rimtumą ir patvirtino, kad FlyCASS buvo atjungtas nuo KCM/CASS sistemos 2024 m. gegužės 7 d. kaip atsargumo priemonė. Netrukus po to FyCASS pažeidžiamumas buvo ištaisytas.
Tačiau pastangos toliau koordinuoti saugų pažeidžiamumo atskleidimą sulaukė pasipriešinimo, kai DHS nustojo atsakyti į jų el. laiškus.
TSA spaudos tarnyba taip pat atsiuntė tyrėjams pareiškimą, neigiantį pažeidžiamumo poveikį, teigdama, kad sistemos tikrinimo procesas užkirs kelią neteisėtai prieigai. Po to, kai buvo informuota tyrėjų, TSA taip pat tyliai pašalino informaciją iš savo svetainės, kuri prieštarauja jos teiginiams.
„Kai apie tai informavome TSA, jie ištrynė savo svetainės skiltį, kurioje minimas rankinis darbuotojo ID įvedimas, ir į mūsų pataisymą nereagavo. Patvirtinome, kad perdavimo sistemos operatorių naudojama sąsaja vis dar leidžia rankiniu būdu įvesti darbuotojų ID.” Carroll pasakė.
Carrollas taip pat teigė, kad trūkumas galėjo leisti padaryti didesnius saugumo pažeidimus, pavyzdžiui, pakeisti esamus KCM narių profilius, kad būtų išvengta bet kokių naujų narių tikrinimo procesų.
Po to, kai buvo paskelbta tyrėjų ataskaita, kitas tyrėjas, vardu Alesandro Ortiz, išsiaiškino, kad FlyCASS 2024 m. vasario mėn. patyrė išpirkos reikalaujančios programos MedusaLocker ataką, o Joe Sandbox analizė parodė užšifruotus failus ir išpirkos raštelį.
„Balandį TSA sužinojo apie pranešimą, kad buvo aptiktas pažeidžiamumas trečiosios šalies duomenų bazėje, kurioje yra informacija apie oro linijų įgulos narius, ir kad pažeidžiamumo testavimo metu į duomenų bazės įgulos narių sąrašą buvo įtrauktas nepatikrintas vardas. arba sistemos buvo pažeistos ir su veikla nesusijęs su transportavimo saugumu susijęs poveikis“, – „BleepingComputer“ sakė TSA spaudos sekretorius R. Carteris Langstonas.
„TSA nepasikliauja tik šia duomenų baze, kad patikrintų įgulos narių tapatybę. TSA turi procedūras, skirtas įgulos narių tapatybei patikrinti, ir tik patvirtintiems įgulos nariams leidžiama patekti į saugią oro uostų zoną. TSA bendradarbiavo su suinteresuotosiomis šalimis, siekdama sumažinti bet kokius nustatė kibernetinį pažeidžiamumą“.
„BleepingComputer“ anksčiau šiandien taip pat susisiekė su DHS, tačiau atstovas spaudai nebuvo iš karto pasiekiamas komentuoti.