A repülőtéri biztonság megkerülése SQL-injection-nel

Editors' Pick

Kiberbiztonsági kutatók azt állítják, hogy olyan sérülékenységet találtak, amely lehetővé tette, hogy átugorják az amerikai repülőterek biztonsági ellenőrzését. Ian Carroll és Sam Curry együtt dolgoztak a felfedezésen, miután rutinszerű utazásuk során egy repülőtéren felfigyeltek a Known Crewmember (KCM) sorra. A sávot néha látni lehet a repülőtereken, és lehetővé teszi az ellenőrzött pilóták és a személyzet számára, hogy a Közlekedésbiztonsági Hivatal (TSA) kezdeményezésének jóvoltából kihagyják a gyakran hosszadalmas biztonsági sorokat. A tényleges személyzet jelentkezhet a programba való igazolásra, és bemutathat egy jelvényt, amely a sorban állás kihagyására jogosítja fel őket.

Hasonló kezdeményezés létezik a kizárólag pilóták számára is, a Cockpit Access Security System (CASS), amely lehetővé teszi az ellenőrzött pilóták számára, hogy a pilótafülke tartalék ülésén (jumpseat) foglaljanak helyet a repülések során, amelyeket bármilyen célból, például ingázás vagy szabadidős utazás céljából kell igénybe venniük. Annak ellenére, hogy a KCM programhoz 76 légitársaság csatlakozott, a nagyobb szolgáltatókkal ez nem működött volna. Az ARINC, az egyének KCM-státuszát ellenőrző rendszert működtető vállalat a TSA-val áll szerződésben. A repülőtéren a TSA kezdeményezi a pilóta vagy a személyzet tagjának KCM vagy CASS státuszának ellenőrzését, amelyet továbbít az ARINC-nek, amely ezt követően továbbítja a kérést a légitársaságnak, hogy ellenőrizze, hogy az illető valóban pilóta vagy személyzet tagja-e valójában. A nagyobb légitársaságok általában saját engedélyezési rendszereket fejlesztenek ki az ilyen kérések kezelésére és megválaszolására, és ezért nem tekinthetők sebezhetőnek. A kisebb üzemeltetők azonban nagyobb valószínűséggel támaszkodnak egy harmadik fél beszállító szolgáltatásaira a KCM és CASS rendszer kéréseinek teljesítésében – jegyzik meg a kutatók. Az egyik ilyen szállítót keresve rábukkantak a FlyCASS nevű webhelyre, amelyen keresztül állításuk szerint sikerült némi bajt okozniuk. A FlyCASS lényegében a FAR121 és FAR135 légitársaságok számára kínál lehetőséget a KCM és CASS kérelmek kezelésére anélkül, hogy saját infrastruktúrát kellene kialakítaniuk. A légitársaságok számára nulla előzetes költséget igénylő szolgáltatásként kínálja magát, amely 24 óra alatt teljes mértékben üzembe helyezhető, és nem igényel műszaki személyzetet.

A kutatók megjegyzik, hogy minden légitársaságnak saját bejelentkezési oldala van, amely az internetre van kitéve. A kutatás szerint ezeket a bejelentkezési oldalakat egy egyszerű SQL-injekcióval meg lehet kerülni. „Mivel csak egy bejelentkezési oldal van kitéve, azt hittük, zsákutcába jutottunk” – írja Carroll az írásában. „A biztonság kedvéért azonban kipróbáltunk egy egyszerű idézőjelet a felhasználónévben SQL-injekciós tesztként, és azonnal MySQL-hibát kaptunk. SQL-injectionnel be tudtak jelentkezni a FlyCASS rendszerbe az Air Transport International rendszergazdájaként. Bárki, aki alapvető SQL-injection ismeretekkel rendelkezik, bejelentkezhet erre az oldalra, és bárkit hozzáadhat a KCM-hez és a CASS-hez, többek között a biztonsági átvilágítást átugorva.

Forrás