- Sam Curry e eu passamos muito tempo nas filas de segurança dos aeroportos
- Known Crewmember (KCM) é um programa da TSA que permite que pilotos e comissários ignorem a triagem de segurança
- O processo do KCM é simples: os funcionários usam uma faixa exclusiva e apresentam um código de barras do KCM ou o número de funcionário
- O Cockpit Access Security System (CASS) é um sistema semelhante que permite que pilotos usem o jumpseat
ARINC
- A ARINC tem contrato com a TSA para operar o sistema KCM
- A ARINC opera um site e uma API para que pilotos e tripulantes verifiquem o status do KCM
- Cada companhia aérea opera seu próprio sistema de autenticação e interage com o “hub” da ARINC
- A TSA e as companhias aéreas enviam
CockpitAccessRequest e CrewVerificationRequest para a ARINC, que os encaminha ao sistema apropriado de cada companhia aérea
FlyCASS.com
- O FlyCASS fornece uma interface baseada na web para companhias aéreas menores
- Testes de SQL Injection revelaram uma vulnerabilidade de segurança no FlyCASS
- Por meio de SQL Injection, foi possível entrar na conta de administrador da Air Transport International
Administradores de KCM e CASS
- O FlyCASS opera KCM e CASS, e com privilégios de administrador é possível adicionar novos funcionários
- Nos testes, foi adicionado um novo funcionário,
Test TestOnly, com permissões de acesso ao KCM e ao CASS
- Isso revelou um problema grave: qualquer pessoa poderia acessar KCM e CASS por meio de SQL Injection
Divulgação
- Houve dificuldade para encontrar os contatos adequados para divulgar o problema
- Em 23 de abril, o problema foi reportado ao Departamento de Segurança Interna, e o FlyCASS foi desativado do KCM/CASS
- A TSA publicou uma nota negando a vulnerabilidade
- A TSA removeu do site a seção de inserção manual do ID de funcionário
Linha do tempo
- 23/04/2024: divulgação inicial para ARINC e FAA
- 24/04/2024: divulgação complementar para o DHS
- 25/04/2024: o CISO do DHS confirmou que estava trabalhando na correção
- 07/05/2024: confirmação de que o FlyCASS foi separado do KCM/CASS
- 17/05/2024: acompanhamento sobre a nota da TSA (sem resposta)
- 04/06/2024: acompanhamento sobre a nota da TSA (sem resposta)
Colaboradores
Resumo do GN⁺
- Este artigo trata de uma vulnerabilidade grave em sistemas de segurança aeroportuária
- Falhas de segurança nos sistemas KCM e CASS criaram uma situação em que qualquer pessoa poderia contornar a triagem de segurança e acessar a cabine de comando
- Foi possível obter privilégios de administrador por meio de SQL Injection, o que representa uma ameaça séria à segurança
- O artigo descreve em detalhes como pesquisadores de segurança descobriram e divulgaram o problema
- Sistemas com função semelhante incluem TSA PreCheck e Global Entry
1 comentários
Comentários do Hacker News
O sistema da TSA é vulnerável a erros básicos de programação web
A resposta da TSA é infantil e constrangedora
É surpreendente que, além da injeção de SQL, tenham criado registros falsos de funcionários
Qualquer pessoa com um mínimo de motivação não teria dificuldade em recriar o 11 de Setembro
É possível que o desenvolvedor do FlyCASS quisesse uma repercussão maior, sabendo que corrigiriam o problema imediatamente
O fato de ninguém mencionar que as senhas eram armazenadas com MD5 mostra a gravidade da situação
Não é surpreendente que tenham negado a gravidade do problema, mas é surpreendente que não tenham avisado o FBI nem feito prisões
Um sistema de segurança de bilhões de dólares foi neutralizado por uma simples injeção de SQL
A resposta da TSA é realmente chocante
Dá vontade de propor aumento salarial para o governo contratar gente melhor, mas o problema parece ser sistêmico, então isso provavelmente não adiantaria