Beveiligingsonderzoekers melden een ernstige kwetsbaarheid in een belangrijk beveiligingssysteem voor de luchtvaart. Hierdoor konden onbevoegde personen mogelijk luchthavencontroles omzeilen en zelfs toegang krijgen tot cockpitstoelen in vliegtuigen.
Twee onafhankelijke onderzoekers, Ian Carroll en Sam Curry, vonden de kwetsbaarheid in FlyCASS, een webgebaseerde dienst die sommige luchtvaartmaatschappijen gebruiken om het zogenaamde Known Crewmember-programma (KCM) en het Cockpit Access Security System (CASS) te beheren. KCM, een initiatief van de Transportation Security Administration (TSA), stelt piloten en cabinepersoneel in staat om de gebruikelijke veiligheidscontroles over te slaan. CASS geeft bevoegde piloten toegang tot cockpitstoelen tijdens het reizen.
FlyCASS, beheerd door ARINC, een dochteronderneming van Collins Aerospace, controleert de gegevens van luchtvaartmedewerkers via een online platform. De onderzoekers ontdekten echter dat het inlogsysteem van FlyCASS kwetsbaar was voor een sql-injectie, een techniek waarbij kwaadwilligen schadelijke sql-opdrachten kunnen invoeren om databasequery’s te manipuleren.
Inloggen
Door deze kwetsbaarheid konden de onderzoekers inloggen als beheerder voor een luchtvaartmaatschappij, Air Transport International. Ze voegden een fictieve medewerker, onder de naam ‘Test TestOnly’, toe en gaven dit account toegang tot zowel KCM als CASS. Dit stelde hen in staat om de veiligheidscontroles te omzeilen en toegang te krijgen tot de cockpits van commerciële vliegtuigen.
Met basiskennis van sql-injectie kon iedereen inloggen op deze site en personen toevoegen aan KCM en CASS, waardoor ze zowel de veiligheidscontroles konden overslaan als toegang kregen tot cockpits, de onderzoekers.
Na de ernst van de situatie te hebben ingezien, namen de twee in april contact op met het Department of Homeland Security. FlyCASS werd een maand later losgekoppeld van het KCM/CASS-systeem als voorzorgsmaatregel. De kwetsbaarheid werd kort daarna opgelost.
‘Toegang onmogelijk’
De TSA ontkende evenwel de impact van de kwetsbaarheid en stelde dat hun procedures ervoor zouden zorgen dat onbevoegde toegang onmogelijk was. Al merkten de onderzoekers op dat de TSA in alle stilte informatie van hun website verwijderde. Informatie die overigens in tegenspraak was met deze verklaringen.
Is hiermee de kous af? Toch niet helemaal. Zo wees onderzoek later uit dat FlyCASS in februari 2024 al slachtoffer was van een MedusaLocker-ransomware-aanval. Dit benadrukt, volgens de onderzoekers, de kwetsbaarheid van dergelijke systemen en de noodzaak van voortdurende beveiligingsmaatregelen.
De vlag dekt niet de lading want FlyCASS lijkt ontworpen te zijn om oponthoud bij de vele binnenlandse vluchten te voorkomen en dient vooral low-budget carriers. Er zitten GEEN gaten in vliegtuigen want beveiligingsonderzoekers zijn alleen maar tegen een ‘bug’ aangelopen waarbij de inlogprocedure van een gebruikersnaam en een wachtwoord omzeild kan worden met SQL-injectie. Da’s een zwakheid maar nog geen probleem als – zoals TSA beweert – er nog aanvullende controles zijn. En volgens het originele bericht bij The Register blijken deze er te zijn waardoor de kop met disclaimer komt dat onderzoekers iets claimen:
“Met basiskennis van sql-injectie kon iedereen inloggen op deze site en personen toevoegen aan KCM en CASS, waardoor ze zowel de veiligheidscontroles konden overslaan als toegang kregen tot cockpits, de onderzoekers.”
Mis niet alleen in de kop een disclaimer want de redactie probeert een storm in een glas water te maken met een incomplete vertaling van een artikel aangezien het toevoegen van een naam aan een database alleen maar iets zegt over toegangscontrole daarvan. Deze was te omzeilen via SQL-injectie waardoor er mogelijk toegang was tot informatie die niet voor iedereen toegankelijk zou moeten zijn. Ik kan me voorstellen dat er vanuit dat oogpunt terughoudendheid is in het geven van informatie.