.
Pesquisadores de segurança cibernética dizem ter encontrado uma vulnerabilidade que lhes permitiu ignorar as verificações de segurança dos aeroportos dos EUA e até mesmo voar na cabine de alguns voos regulares.
Ian Carroll e Sam Curry trabalharam juntos nas descobertas depois que a fila Known Crewmember (KCM) chamou sua atenção em um aeroporto durante sua viagem de rotina. A faixa pode às vezes ser vista em aeroportos e permite que pilotos e tripulantes verificados pulem as filas de segurança, muitas vezes longas, cortesia de uma iniciativa da Transportation Security Administration (TSA).
A tripulação real pode solicitar a verificação do programa e apresentar um crachá que lhes concede privilégios de pular filas. Uma iniciativa semelhante também existe apenas para pilotos, o Cockpit Access Security System (CASS), que permite que pilotos verificados se sentem no assento extra do cockpit (jumpseat) durante voos que eles precisam fazer para qualquer propósito, como deslocamento diário ou viagem de lazer.
Claro, muitos de nós já vimos esses furadores de fila autorizados parados como idiotas esperando para jogar nossas coisas nos cintos do scanner de segurança, desejando ser um deles. Mas, de acordo com os pesquisadores, você não precisa passar por uma escola de pilotos para ter acesso a um assento de salto; você só precisa aprender a explorar um bug de injeção de SQL.
Uma pequena ressalva
Apesar de 76 companhias aéreas terem aderido ao programa KCM, isso não teria funcionado com os provedores maiores.
ARINC, a empresa que administra o sistema que verifica o status KCM de indivíduos, é contratada pela TSA. No aeroporto, a TSA iniciará uma verificação do status KCM ou CASS de um piloto ou tripulante, que é passada para a ARINC, que então encaminha essa solicitação para a companhia aérea para verificar se o indivíduo é, de fato, um piloto ou tripulante real.
As grandes companhias aéreas tendem a desenvolver seus próprios sistemas de autorização para lidar e responder a essas solicitações e, portanto, não são consideradas vulneráveis.
Operadores menores, no entanto, são mais propensos a confiar nos serviços de um fornecedor terceirizado para atender às suas solicitações de sistema KCM e CASS, observam os pesquisadores. Ao procurar por um desses fornecedores, eles encontraram um site chamado FlyCASS, por meio do qual alegam que conseguiram causar algum dano.
Até nada de bom
O FlyCASS oferece essencialmente às companhias aéreas FAR121 e FAR135 uma maneira de gerenciar solicitações de KCM e CASS sem ter que desenvolver sua própria infraestrutura. Ele se apresenta como um serviço que exige custo inicial zero para as companhias aéreas e que pode ser totalmente configurado em 24 horas, sem necessidade de equipe técnica.
Os pesquisadores observam que cada companhia aérea tem sua própria página de login, que é exposta à internet. De acordo com a pesquisa, essas páginas de login poderiam ser ignoradas usando uma simples injeção de SQL.
“Com apenas uma página de login exposta, achamos que tínhamos chegado a um beco sem saída”, Carroll disse em seu artigo. “Só para ter certeza, tentamos uma aspa simples no nome de usuário como um teste de injeção de SQL e imediatamente recebemos um erro do MySQL.
“Este foi um péssimo sinal, pois parecia que o nome de usuário foi interpolado diretamente na consulta SQL de login. Com certeza, descobrimos injeção de SQL e conseguimos usar o sqlmap para confirmar o problema. Usando o nome de usuário ‘ ou ‘1’=’1 e a senha ‘) OR MD5(‘1’)=MD5(‘1, conseguimos fazer login no FlyCASS como um administrador da Air Transport International!”
Após obter acesso, a dupla disse que conseguiu criar novos pilotos aprovados no programa CASS sem nenhuma verificação adicional.
“Nesse ponto, percebemos que havíamos descoberto um problema muito sério”, Carroll acrescentou. “Qualquer pessoa com conhecimento básico de injeção de SQL poderia fazer login neste site e adicionar qualquer pessoa que quisesse ao KCM e CASS, permitindo-se pular a triagem de segurança e, em seguida, acessar os cockpits de aviões comerciais.
“Acabamos encontrando vários problemas mais sérios, mas iniciamos o processo de divulgação imediatamente após encontrar o primeiro problema.”
Dificuldades de divulgação
Carroll diz que o primeiro passo normalmente seria alertar o FlyCASS, mas os pesquisadores optaram por não fazer isso, pois “parecia ser operado apenas por uma pessoa e não queríamos alarmá-los”.
ARINC e FAA foram os próximos, seguidos de perto pelo Department of Homeland Security (DHS), cujo CISO respondeu dizendo que estava sendo levado muito a sério. Um dia depois, em 25 de abril, o FlyCASS foi desconectado dos programas KCM e CASS.
Quando se tratou de divulgar as descobertas, parece que as autoridades dos EUA não queriam que isso fosse divulgado, se o relato dos pesquisadores for algo a se considerar. Carroll diz que o DHS ignorou completamente todas as tentativas de divulgar as descobertas de forma coordenada.
Ele também alegou que a TSA “emitiu declarações perigosamente incorretas sobre a vulnerabilidade, negando o que havíamos descoberto”.
De acordo com Carroll: “A assessoria de imprensa da TSA disse em um comunicado que essa vulnerabilidade não poderia ser usada para acessar um posto de controle do KCM porque a TSA inicia um processo de verificação antes de emitir um código de barras do KCM para um novo membro.
“No entanto, um código de barras KCM não é necessário para usar os pontos de verificação KCM, pois o [transportation security officer (TSO)] pode inserir manualmente uma ID de funcionário da companhia aérea. Depois que informamos a TSA sobre isso, eles excluíram a seção do site que menciona a inserção manual de uma ID de funcionário e não responderam à nossa correção. Confirmamos que a interface usada pelos TSOs ainda permite a entrada manual de IDs de funcionários.”
O Registro entrou em contato com o DHS, TSA, FAA e FlyCASS para contar a versão deles da história e atualizaremos isso se recebermos respostas.
Também perguntamos ao FlyCASS sobre uma observação feita por Alesandro Ortiz. O engenheiro de software apontou para um relatório do Joe Sandbox sobre o FlyCASS que incluía capturas de tela do que parece ser uma infecção de ransomware datada de 7 de fevereiro deste ano.
Se for verdade, os detalhes da nota de resgate sugerem que a cepa de ransomware L54 derivada do Medusa pode ter sido usada. Muitos recursos da nota, incluindo o formato de e-mail de contato, são semelhantes ou idênticos aos de ataques L54 conhecidos do passado. ®
.
