Güvenlik araştırmacıları, anahtar bir hava taşımacılığı güvenlik sisteminde, yetkisiz bireylerin havaalanı güvenlik gösterimlerini potansiyel olarak atlamasına ve uçak kokpitlerine erişmesine izin veren bir güvenlik açığı buldular.
Araştırmacılar Ian Carroll ve Sam Curry, bazı havayollarının bilinen Mürettebat (KCM) programını ve kokpit erişim güvenlik sistemini (CASS) yönetmek için kullandığı üçüncü taraf web tabanlı bir hizmet olan Flycass'taki güvenlik açığını keşfettiler. KCM, pilotların ve uçuş görevlilerinin güvenlik taramasını atlamasına izin veren bir Ulaştırma Güvenliği İdaresi (TSA) girişimidir ve CASS, yetkili pilotların seyahat ederken kokpitlerde atlama kullanmalarını sağlar.
Arinc (Collins Aerospace'in bir yan kuruluşu) tarafından işletilen KCM sistemi, havayolu çalışanlarının kimlik bilgilerini çevrimiçi bir platform aracılığıyla doğrular. İşlem, bir KCM barkodunun taranmasını veya bir çalışan numarası girmeyi, ardından bir güvenlik taraması gerekmeden erişim vermek için havayolu veritabanıyla çapraz kontrol etmeyi içerir. Benzer şekilde, CASS sistemi, gidip gelmeleri veya seyahat etmeleri gerektiğinde kokpit atlama erişimi için pilotları doğrular.
Araştırmacılar, Flycass'ın giriş sisteminin, saldırganların kötü amaçlı veritabanı sorguları için SQL ifadeleri eklemesini sağlayan bir güvenlik açığı olan SQL enjeksiyonuna duyarlı olduğunu keşfettiler. Bu kusurdan yararlanarak, katılımcı bir havayolu, Air Transport International için yönetici olarak giriş yapabilir ve sistem içindeki çalışan verilerini manipüle edebilirler.
"Testonly Test" adlı hayali bir çalışan eklediler ve bu hesaba KCM ve CASS'a erişim sağladılar, bu da "güvenlik taramasını atlamalarına ve daha sonra ticari uçakların kokpitlerine erişmelerine" izin verdiler.
Carroll, "Temel SQL enjeksiyon bilgisi olan herkes bu siteye giriş yapabilir ve KCM ve CASS'a istedikleri herkesi ekleyebilir, bu da kendilerini hem güvenlik taramasını atlamalarını hem de ticari uçakların kokpitlerine erişmesine izin verebilir." Dedi.
Sorunun ciddiyetini fark eden araştırmacılar, 23 Nisan 2024 tarihinde İç Güvenlik Bakanlığı (DHS) ile iletişim kurarak derhal bir açıklama sürecine başladılar. Kişi ve açıklamanın onları alarm vereceğinden korkuyorlardı.
DHS, kırılganlığın ciddiyetini kabul ederek cevap verdi ve 7 Mayıs 2024'te KCM/CASS sisteminden kesildiğini doğruladı. Kısa süre sonra, güvenlik açığı fycass üzerinde sabitlendi.
Bununla birlikte, DHS e -postalarına yanıt vermeyi bıraktıktan sonra, güvenlik açığının güvenli bir şekilde açıklanmasını daha da koordine etme çabaları dirençle karşılandı.
TSA Basın Ofisi ayrıca araştırmacılara, sistemin veterinerlik sürecinin yetkisiz erişimi önleyeceğini iddia ederek güvenlik açığının etkisini reddeden bir açıklama gönderdi. Araştırmacılar tarafından bilgilendirildikten sonra TSA, web sitesinden ifadeleriyle çelişen bilgileri sessizce kaldırdı.
Diyerek şöyle devam etti: "Bunun TSA'sını bilgilendirdikten sonra, web sitelerinin bir çalışan kimliğine manuel olarak girmesinden bahseden ve düzeltmemize yanıt vermeyen bölümünü sildiler. TSO'lar tarafından kullanılan arayüzün hala çalışan kimliklerinin manuel girdisine izin verdiğini doğruladık." Dedi Carroll.
Carroll ayrıca, kusurun mevcut KCM üye profillerini yeni üyeler için herhangi bir veteriner işlemini atlamak için değiştirme gibi daha kapsamlı güvenlik ihlallerine izin verebileceğini söyledi.
Araştırmacıların raporu yayınlandıktan sonra, Alesandro Ortiz adlı başka bir araştırmacı, Flycass'ın Şubat 2024'te bir Medusalocker Fidye yazılımı saldırısı yaşadığını keşfetti ve şifreli dosyalar ve fidye notu gösteren bir Joe Sandbox analizi ile.
"Nisan ayında TSA, üçüncü bir tarafın havayolu mürettebatı içeren bir veritabanındaki bir kırılganlığın keşfedildiğini ve güvenlik açığını test ederek veritabanındaki mürettebatların bir listesine doğrulanmamış bir adın eklendiğini bildirdi. Veya sistemler tehlikeye atıldı ve faaliyetlerle ilgili ulaşım güvenliği etkileri yok. "
"TSA yalnızca mürettebat üyelerinin kimliğini doğrulamak için bu veritabanına güvenmez. TSA'nın mürettebat üyelerinin kimliğini doğrulamak için prosedürleri vardır ve sadece doğrulanmış mürettebatların havaalanlarında güvenli alana erişmesine izin verilir. TSA, herhangi bir belirlenmiş siber güvenlik açıkları. "
BleepingComputer da bugün daha önce DHS ile temasa geçti, ancak bir sözcü hemen yorum yapmak için mevcut değildi.
Business Services Dev CBIZ Müşteri Veri ihlalini açıklar
Park’n Fly, 1 milyon müşteri veri ihlalini bilgilendiriyor
Seattle-Tacoma Havaalanı BT sistemleri bir siber saldırı nedeniyle
CISA, yazılım geliştiricilerini SQL enjeksiyon güvenlik açıklarını ayıklamaya çağırıyor
Kaynak: Bleeping Computer