Due ricercatori scoprono una falla nei sistemi di autenticazione del personale di volo degli aeroporti statunitensi

Due ricercatori scoprono una falla nei sistemi di autenticazione del personale di volo degli aeroporti statunitensi

La vulnerabilità avrebbe consentito a chiunque di aggirare i controlli di sicurezza e salire a bordo di aerei in servizio spacciandosi per personale di volo, con la possibilità di accedere alle cabine di pilotaggio

di pubblicata il , alle 14:08 nel canale Sicurezza
 

Una falla di sicurezza potenzialmente molto grave a carico del sistema di controllo per l'accesso degli equipaggi negli areoporti statunitensi è stata recentemente resa di pubblico dominio da due ricercatori indipententi.

Sam Curry e Ian Carrol hanno identificato una vulnerabilità critica in FlyCASS, un servizio di terze parti che viene usato da varie compagnie aeree per la gestione dei programmi Known Crewmember (KCM) e Cockpit Access Security System (CASS).

KCM è un'iniziativa dell'autorità dei trasporti americana (Transportation Security Administration - TSA) che permette a piloti e assistenti di volo di non dover essere sottoposti ai controlli di sicurezza standard. CASS è invece un sistema che permette ai piloti autorizzati di utilizzare gli strapuntini in cabina di pilotaggio quando devono spostarsi senza responsabilità di volo. Tutti e due questi sistemi utilizzano FlyCASS per verificare le credenziali del personale aereo.

I ricercatori hanno scoperto una vulnerabilità nel sistema di login di FlyCASS che rende possibile un attacco di tipo SQL injection. Questo tipo di attacco permette ad un aggressore di inserire istruzioni SQL arbitrarie nella query al database: sfruttando la vulnerabilità a carico di FlyCASS sarebbe possibile accedere come amministratori alla gestione del personale di una compagnia aerea, riuscendo quindi ad avere il controllo completo dei dipendenti.

I ricercatori hanno dimostrato la possibilità di sfruttare la falla, e contestualmente la sua gravità, creando un dipendente fittizio che hanno chiamato "Test TestOnly" per il quale hanno concesso l'accesso ai sistemi KCM e CASS della compagnia aerea Air Transport International. In questo modo il signor Test TestOnly avrebbe potuto evitare i controlli di sicurezza standard e addirittura accedere alla cabina di pilotaggio di un aereo poiché accreditato dai due sistemi di verifica.

Curry e Carrol, a fronte della gravità della situazione, hanno deciso di contattare il Dipartimento per la Sicurezza Nazionale (Department of Homeland Security - DHS) e avviare un percorso di divulgazione responsabile. I contatti con il DHS sono stati avviati il 23 aprile del 2024, che ha prontamente riconosciuto la gravità della situazione e ha disposto, come misura precauzionale, la disconnessione di FlyCASS dai due sistemi KCM e CASS il 7 maggio successivo. A stretto giro la vulnerabilità di FlyCASS è stata corretta.

Da questo momento in poi, però, i ricercatori raccontano di aver incontrato una certa reticenza con il DHS che ha sospeso le comunicazioni e la Transport Security Administration che ha rilasciato una dichiarazione nella quale veniva negato l'impatto della vulnerabilità e che il processo di verifica del sistema avrebbe impedito l'accesso non autorizzato.

I ricercatori hanno contestato questa affermazione, sottolineando che l'interfaccia utilizzata dal personale addetto alla sicurezza di volo permetteva ancora l'inserimento manuale dell'ID dei dipendenti, rendendo il sistema potenzialmente vulnerabile ad altri attacchi, aprendo la strada alla possibilità di aggirare anche il processo di verifica iniziale dei nuovi dipendenti e consentire di fatto a chiunque di poter accedere alla cabina di pilotaggio di un aereo in servizio. La TSA non ha risposto ai ricercatori, ma ha rimosso dal suo sito web le informazioni che contraddicevano le sue stesse dichiarazioni (ma il web non dimentica!) , senza fornire ulteriori spiegazioni.

Dopo che, nei giorni scorsi, i ricercatori hanno raccontato l'accaduto, è emerso un altro incidente di sicurezza avvenuto a FlyCASS nel febbraio scorso. Il ricercatore Alesandro Ortiz ha infatti trovato tracce dell'esistenza di un attacco ransomware sferrato con MedusaLocker, sollevando ulteriori perplessità sulla sicurezza del sistema.

I ricercatori hanno inoltre spiegato che al momento della scoperta della vulnerabilità hanno deciso di contattare il DHS e non direttamente FlyCASS per evitare allarmismi o esiti imprevedibili, dal momento che la società risulterebbe gestita da una sola persona.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Antonio F2.03 Settembre 2024, 16:25 #1
nel 2024.
una SQL injection.
in un software aeroportuale.
dai, ditemi che adesso salta fuori marco balestri gridando "sei su scherzi a parte!"

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^