- Sam Curry y yo pasamos mucho tiempo en las filas de seguridad del aeropuerto
- Known Crewmember (KCM) es un programa de la TSA que permite a pilotos y tripulación omitir el control de seguridad
- El proceso de KCM es simple: el personal usa un carril dedicado y presenta un código de barras de KCM o su número de empleado
- Cockpit Access Security System (CASS) también es un sistema similar que permite a los pilotos usar el jumpseat
ARINC
- ARINC opera el sistema KCM bajo contrato con la TSA
- ARINC opera un sitio web y una API para que pilotos y tripulación puedan verificar su estado en KCM
- Cada aerolínea opera su propio sistema de autenticación e interactúa con el "hub" de ARINC
- La TSA y las aerolíneas envían
CockpitAccessRequest y CrewVerificationRequest a ARINC, y ARINC los enruta al sistema correspondiente de cada aerolínea
FlyCASS.com
- FlyCASS ofrece una interfaz web para aerolíneas pequeñas
- Mediante pruebas de inyección SQL se descubrió una vulnerabilidad de seguridad en FlyCASS
- La inyección SQL permitía iniciar sesión como administrador de Air Transport International
Administradores de KCM y CASS
- FlyCASS opera KCM y CASS, y con privilegios de administrador se pueden agregar nuevos empleados
- Durante las pruebas se agregó un nuevo empleado,
Test TestOnly, y se le otorgó acceso a KCM y CASS
- Esto reveló un problema grave: cualquiera podía acceder a KCM y CASS mediante inyección SQL
Divulgación
- Hubo dificultades para encontrar los contactos adecuados para reportar el problema
- El 23 de abril se reportó el problema al Departamento de Seguridad Nacional, y FlyCASS fue deshabilitado de KCM/CASS
- La TSA publicó un comunicado negando la vulnerabilidad
- La TSA eliminó de su sitio web la sección de ingreso manual del ID de empleado
Cronología
- 04/23/2024: Divulgación inicial a ARINC y la FAA
- 04/24/2024: Divulgación de seguimiento al DHS
- 04/25/2024: El CISO del DHS confirma que se está trabajando en una solución
- 05/07/2024: Se confirma que FlyCASS fue separado de KCM/CASS
- 05/17/2024: Seguimiento sobre el comunicado de la TSA (sin respuesta)
- 06/04/2024: Seguimiento sobre el comunicado de la TSA (sin respuesta)
Colaboradores
Resumen de GN⁺
- Este artículo trata una vulnerabilidad grave en los sistemas de seguridad aeroportuaria
- Las fallas de seguridad en los sistemas KCM y CASS generaban un problema por el que cualquiera podía omitir el control de seguridad y acceder a la cabina
- Era posible obtener privilegios de administrador mediante inyección SQL, lo que representaba una amenaza de seguridad grave
- El artículo describe en detalle cómo los investigadores de seguridad descubrieron y divulgaron el problema
- Sistemas con funciones similares incluyen TSA PreCheck y Global Entry
1 comentarios
Opiniones de Hacker News
El sistema de la TSA es vulnerable a errores básicos de programación web
La respuesta de la TSA es infantil y vergonzosa
Más allá de la inyección SQL, sorprende que se hayan creado registros falsos de empleados
Cualquiera con un poco de motivación no tendría dificultad para recrear el 11-S
Es posible que el desarrollador de FlyCASS supiera que el problema se resolvería de inmediato y quisiera generar un impacto mayor
El hecho de que nadie mencione que las contraseñas se guardan con MD5 muestra lo grave de la situación
No sorprende que se niegue la gravedad del problema, pero sí sorprende que no se haya informado al FBI ni se haya arrestado a nadie
Un sistema de seguridad de miles de millones de dólares fue inutilizado por una simple inyección SQL
La respuesta de la TSA es realmente impactante
Dan ganas de proponer aumentos salariales para que el gobierno contrate mejor talento, pero el problema parece ser sistémico, así que no serviría de mucho