Umgehung der Flughafensicherheit durch SQL-Injection

 (ian.sh)
1 Punkte von GN⁺ 2024-08-30 | 1 Kommentare | Auf WhatsApp teilen
  • Sam Curry und ich verbringen viel Zeit in den Warteschlangen der Flughafensicherheit
  • Known Crewmember (KCM) ist ein TSA-Programm, das es Pilot:innen und Kabinenpersonal ermöglicht, die Sicherheitskontrolle zu umgehen
  • Der KCM-Prozess ist einfach: Mitarbeitende nutzen eine eigene Spur und legen einen KCM-Barcode oder ihre Personalnummer vor
  • Das Cockpit Access Security System (CASS) ist ein ähnliches System, das es Pilot:innen ermöglicht, den Jumpseat zu nutzen

ARINC

  • ARINC betreibt das KCM-System im Auftrag der TSA
  • ARINC betreibt eine Website und eine API, über die Pilot:innen und Kabinenpersonal ihren KCM-Status prüfen können
  • Jede Fluggesellschaft betreibt ihr eigenes Authentifizierungssystem und interagiert mit dem „Hub“ von ARINC
  • TSA und Fluggesellschaften senden CockpitAccessRequest und CrewVerificationRequest an ARINC, und ARINC leitet diese an das passende System der jeweiligen Fluggesellschaft weiter

FlyCASS.com

  • FlyCASS bietet eine webbasierte Oberfläche für kleinere Fluggesellschaften
  • Durch Tests auf SQL-Injection wurde eine Sicherheitslücke in FlyCASS entdeckt
  • Über SQL-Injection war ein Login in das Administratorkonto von Air Transport International möglich

KCM- und CASS-Administratoren

  • FlyCASS betreibt KCM und CASS, und mit Administratorrechten können neue Mitarbeitende hinzugefügt werden
  • In Tests wurde der neue Mitarbeiter Test TestOnly angelegt und mit Zugriffsrechten für KCM und CASS versehen
  • Dadurch wurde ein schwerwiegendes Problem sichtbar: Jede Person konnte per SQL-Injection Zugriff auf KCM und CASS erhalten

Offenlegung

  • Es war schwierig, passende Ansprechpartner für die Offenlegung des Problems zu finden
  • Am 23. April wurde das Problem dem Heimatschutzministerium gemeldet, woraufhin FlyCASS in KCM/CASS deaktiviert wurde
  • Die TSA veröffentlichte eine Erklärung, in der sie die Schwachstelle abstritt
  • Die TSA entfernte auf der Website den Abschnitt zur manuellen Eingabe der Mitarbeiter-ID

Zeitlinie

  • 23.04.2024: Erstmeldung an ARINC und FAA
  • 24.04.2024: Nachträgliche Meldung an DHS
  • 25.04.2024: DHS-CISO bestätigt laufende Behebungsarbeiten
  • 07.05.2024: Bestätigung, dass FlyCASS von KCM/CASS getrennt wurde
  • 17.05.2024: Nachfrage zur TSA-Erklärung (keine Antwort)
  • 04.06.2024: Weitere Nachfrage zur TSA-Erklärung (keine Antwort)

Mitwirkende

Zusammenfassung von GN⁺

  • Dieser Artikel behandelt eine schwerwiegende Schwachstelle in einem Flughafensicherheitssystem
  • Durch Sicherheitsmängel in den Systemen KCM und CASS entstand das Problem, dass jede Person die Sicherheitskontrolle umgehen und Zugang zum Cockpit erhalten konnte
  • Über SQL-Injection konnten Administratorrechte erlangt werden, was eine erhebliche Sicherheitsbedrohung darstellt
  • Der Artikel beschreibt detailliert, wie Sicherheitsforscher das Problem entdeckten und offenlegten
  • Systeme mit ähnlicher Funktion sind unter anderem TSA PreCheck und Global Entry

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-08-30
Hacker-News-Kommentare

  • Das TSA-System ist für grundlegende Webprogrammierfehler anfällig

    • Die TSA neigt dazu, Probleme zu vertuschen und abzustreiten, statt sie zu beheben
    • Das ist eine natürliche Folge einer autoritären Denkweise

  • Die Reaktion der TSA ist kindisch und peinlich

    • Das DHS bearbeitete den Bericht zunächst schnell und professionell, konnte später bei der Behebung des Problems und im Offenlegungsprozess jedoch nicht die höchste Autorität behalten

  • Erstaunlich ist nicht nur die SQL-Injection, sondern auch, dass gefälschte Datensätze für Mitarbeiter erstellt wurden

    • Noch erstaunlicher ist, dass Homeland die Beteiligten nicht festgenommen hat
    • Statt als verantwortungsvolle Offenlegung hätte es leicht als böswilliger Hack missverstanden werden können

  • Für jeden mit auch nur ein wenig Motivation wäre es nicht schwer, 9/11 nachzustellen

    • Dass es so wenig Terror gibt, liegt nicht daran, dass Sicherheitsbehörden uns schützen, sondern daran, dass es extrem wenige Terroristen gibt

  • Möglicherweise wollte der FlyCASS-Entwickler mehr Aufmerksamkeit, weil er wusste, dass das Problem sofort behoben werden würde

  • Dass niemand erwähnt, dass Passwörter mit MD5 gespeichert werden, zeigt, wie ernst die Lage ist

    • Da sich über SQL-Abfragen leicht darauf zugreifen lässt, ist die Art der Passwortspeicherung bedeutungslos

  • Es ist nicht überraschend, dass die Schwere des Problems abgestritten wird, wohl aber, dass weder das FBI informiert noch jemand verhaftet wurde

  • Ein milliardenschweres Sicherheitssystem wird durch eine einfache SQL-Injection ausgehebelt

  • Die Reaktion der TSA ist zutiefst schockierend

  • Ich würde gerne höhere Gehälter vorschlagen, damit der Staat bessere Talente einstellen kann, aber das Problem scheint systemisch zu sein, sodass das wohl nichts bringen würde

    • Alle wiederholen dieselben Fehler
    • Es gab Gelegenheiten, das Problem zu lösen, aber sie wurden verpasst