.png)
.png)
.png)
.png)
.
Pesquisadores de segurança cibernética dizem ter encontrado uma vulnerabilidade que lhes permitiu ignorar as verificações de segurança dos aeroportos dos EUA e até mesmo voar na cabine de alguns voos regulares.
Ian Carroll e Sam Curry trabalharam juntos nas descobertas depois que a fila Known Crewmember (KCM) chamou sua atenção em um aeroporto durante sua viagem de rotina. A faixa pode às vezes ser vista em aeroportos e permite que pilotos e tripulantes verificados pulem as filas de segurança, muitas vezes longas, cortesia de uma iniciativa da Transportation Security Administration (TSA).
A tripulação real pode solicitar a verificação do programa e apresentar um crachá que lhes concede privilégios de pular filas. Uma iniciativa semelhante também existe apenas para pilotos, o Cockpit Access Security System (CASS), que permite que pilotos verificados se sentem no assento extra do cockpit (jumpseat) durante voos que eles precisam fazer para qualquer propósito, como deslocamento diário ou viagem de lazer.
Claro, muitos de nós já vimos esses furadores de fila autorizados parados como idiotas esperando para jogar nossas coisas nos cintos do scanner de segurança, desejando ser um deles. Mas, de acordo com os pesquisadores, você não precisa passar por uma escola de pilotos para ter acesso a um assento de salto; você só precisa aprender a explorar um bug de injeção de SQL.
Uma pequena ressalva
Apesar de 76 companhias aéreas terem aderido ao programa KCM, isso não teria funcionado com os provedores maiores.
ARINC, a empresa que administra o sistema que verifica o status KCM de indivíduos, é contratada pela TSA. No aeroporto, a TSA iniciará uma verificação do status KCM ou CASS de um piloto ou tripulante, que é passada para a ARINC, que então encaminha essa solicitação para a companhia aérea para verificar se o indivíduo é, de fato, um piloto ou tripulante real.
As grandes companhias aéreas tendem a desenvolver seus próprios sistemas de autorização para lidar e responder a essas solicitações e, portanto, não são consideradas vulneráveis.
Operadores menores, no entanto, são mais propensos a confiar nos serviços de um fornecedor terceirizado para atender às suas solicitações de sistema KCM e CASS, observam os pesquisadores. Ao procurar por um desses fornecedores, eles encontraram um site chamado FlyCASS, por meio do qual alegam que conseguiram causar algum dano.
Até nada de bom
O FlyCASS oferece essencialmente às companhias aéreas FAR121 e FAR135 uma maneira de gerenciar solicitações de KCM e CASS sem ter que desenvolver sua própria infraestrutura. Ele se apresenta como um serviço que exige custo inicial zero para as companhias aéreas e que pode ser totalmente configurado em 24 horas, sem necessidade de equipe técnica.
Os pesquisadores observam que cada companhia aérea tem sua própria página de login, que é exposta à internet. De acordo com a pesquisa, essas páginas de login poderiam ser ignoradas usando uma simples injeção de SQL.
“Com apenas uma página de login exposta, achamos que tínhamos chegado a um beco sem saída”, Carroll disse em seu artigo. “Só para ter certeza, tentamos uma aspa simples no nome de usuário como um teste de injeção de SQL e imediatamente recebemos um erro do MySQL.
“Este foi um péssimo sinal, pois parecia que o nome de usuário foi interpolado diretamente na consulta SQL de login. Com certeza, descobrimos injeção de SQL e conseguimos usar o sqlmap para confirmar o problema. Usando o nome de usuário ‘ ou ‘1’=’1 e a senha ‘) OR MD5(‘1’)=MD5(‘1, conseguimos fazer login no FlyCASS como um administrador da Air Transport International!”
Após obter acesso, a dupla disse que conseguiu criar novos pilotos aprovados no programa CASS sem nenhuma verificação adicional.
“Nesse ponto, percebemos que havíamos descoberto um problema muito sério”, Carroll acrescentou. “Qualquer pessoa com conhecimento básico de injeção de SQL poderia fazer login neste site e adicionar qualquer pessoa que quisesse ao KCM e CASS, permitindo-se pular a triagem de segurança e, em seguida, acessar os cockpits de aviões comerciais.
“Acabamos encontrando vários problemas mais sérios, mas iniciamos o processo de divulgação imediatamente após encontrar o primeiro problema.”