Inyección SQL permite eludir controles de seguridad de la TSA en los aeropuertos

Iniciado por AXCESS, Septiembre 02, 2024, 08:27:05 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 02, 2024, 08:27:05 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de seguridad han descubierto una vulnerabilidad en un sistema clave de seguridad del transporte aéreo que permitía a personas no autorizadas eludir los controles de seguridad del aeropuerto y acceder a las cabinas de los aviones.

Los investigadores Ian Carroll y Sam Curry descubrieron la vulnerabilidad en FlyCASS, un servicio web de terceros que algunas aerolíneas utilizan para gestionar el programa de tripulantes conocidos (KCM) y el sistema de seguridad de acceso a la cabina (CASS). KCM es una iniciativa de la Administración de Seguridad del Transporte (TSA) que permite a los pilotos y azafatas saltarse los controles de seguridad, y CASS permite a los pilotos autorizados utilizar asientos auxiliares en las cabinas de los aviones cuando viajan.

El sistema KCM, operado por ARINC (una filial de Collins Aerospace), verifica las credenciales de los empleados de las aerolíneas a través de una plataforma en línea. El proceso implica escanear un código de barras KCM o introducir un número de empleado, y luego cotejarlo con la base de datos de la aerolínea para conceder el acceso sin necesidad de un control de seguridad. De forma similar, el sistema CASS verifica a los pilotos para el acceso a los asientos auxiliares en la cabina cuando necesitan desplazarse o viajar.

Los investigadores descubrieron que el sistema de inicio de sesión de FlyCASS era susceptible a la inyección SQL, una vulnerabilidad que permite a los atacantes insertar sentencias SQL para realizar consultas maliciosas a bases de datos. Al explotar esta falla, podían iniciar sesión como administrador de una aerolínea participante, Air Transport International, y manipular los datos de los empleados dentro del sistema.

Agregaron un empleado ficticio, "Test TestOnly", y otorgaron a esta cuenta acceso a KCM y CASS, lo que les permitió efectivamente "saltarse los controles de seguridad y luego acceder a las cabinas de los aviones comerciales".

"Cualquier persona con conocimientos básicos de inyección SQL podía iniciar sesión en este sitio y agregar a quien quisiera a KCM y CASS, lo que les permitía saltarse los controles de seguridad y luego acceder a las cabinas de los aviones comerciales", dijo Carroll.

Al darse cuenta de la gravedad del problema, los investigadores comenzaron de inmediato un proceso de divulgación y se pusieron en contacto con el Departamento de Seguridad Nacional (DHS) el 23 de abril de 2024. Los investigadores decidieron no ponerse en contacto directamente con el sitio FlyCASS, ya que parecía estar dirigido por una sola persona y temían que la divulgación los alarmara.

El DHS respondió, reconociendo la gravedad de la vulnerabilidad, y confirmó que FlyCASS se desconectó del sistema KCM/CASS el 7 de mayo de 2024, como medida de precaución. Poco después, se solucionó la vulnerabilidad en FyCASS.

Sin embargo, los esfuerzos por coordinar aún más una divulgación segura de la vulnerabilidad se encontraron con resistencia después de que el DHS dejara de responder a sus correos electrónicos.

La oficina de prensa de la TSA también envió a los investigadores una declaración en la que negaba el impacto de la vulnerabilidad, afirmando que el proceso de verificación del sistema evitaría el acceso no autorizado. Después de ser informada por los investigadores, la TSA también eliminó silenciosamente información de su sitio web que contradecía sus declaraciones.

"Después de informar a la TSA sobre esto, eliminaron la sección de su sitio web que menciona la introducción manual de la identificación de un empleado y no respondieron a nuestra corrección. Hemos confirmado que la interfaz utilizada por los TSO todavía permite la entrada manual de las identificaciones de los empleados", dijo Carroll.

Carroll también dijo que la falla podría haber permitido brechas de seguridad más extensas, como alterar los perfiles de los miembros existentes de KCM para eludir cualquier proceso de investigación de antecedentes para los nuevos miembros.

Después de que se publicara el informe de los investigadores, otro investigador llamado Alesandro Ortiz descubrió que FlyCASS parecía haber sufrido un ataque de ransomware MedusaLocker en febrero de 2024, con un análisis de Joe Sandbox que mostraba archivos cifrados y una nota de rescate.

"En abril, la TSA se enteró de un informe que indicaba que se había descubierto una vulnerabilidad en la base de datos de un tercero que contenía información de los miembros de la tripulación de las aerolíneas y que, al probar la vulnerabilidad, se había añadido un nombre no verificado a una lista de miembros de la tripulación en la base de datos. No se comprometieron datos ni sistemas del gobierno y no hay impactos en la seguridad del transporte relacionados con las actividades", dijo a BleepingComputer el secretario de prensa de la TSA, R. Carter Langston.

"La TSA no se basa únicamente en esta base de datos para verificar la identidad de los miembros de la tripulación. La TSA tiene procedimientos establecidos para verificar la identidad de los miembros de la tripulación y solo los miembros de la tripulación verificados tienen permitido el acceso a la zona segura de los aeropuertos. La TSA trabajó con las partes interesadas para mitigar cualquier vulnerabilidad cibernética identificada".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario