Contourner la sécurité aéroportuaire via une injection SQL

 (ian.sh)
1 points par GN⁺ 2024-08-30 | 1 commentaires | Partager sur WhatsApp
  • Sam Curry et moi passons beaucoup de temps dans les files d’attente de la sécurité aéroportuaire
  • Known Crewmember (KCM) est un programme de la TSA qui permet aux pilotes et au personnel navigant de contourner le contrôle de sécurité
  • Le processus KCM est simple : les employés utilisent une file dédiée et présentent un code-barres KCM ou leur numéro d’employé
  • Le Cockpit Access Security System (CASS) est un système similaire qui permet aux pilotes d’utiliser le jumpseat

ARINC

  • ARINC est sous contrat avec la TSA pour exploiter le système KCM
  • ARINC exploite un site web et une API permettant aux pilotes et au personnel navigant de vérifier leur statut KCM
  • Chaque compagnie aérienne exploite son propre système d’authentification et interagit avec le « hub » d’ARINC
  • La TSA et les compagnies aériennes envoient CockpitAccessRequest et CrewVerificationRequest à ARINC, qui les achemine ensuite vers le système de la compagnie concernée

FlyCASS

  • FlyCASS fournit une interface web pour les petites compagnies aériennes
  • Des tests d’injection SQL ont permis de découvrir une faille de sécurité dans FlyCASS
  • L’injection SQL permettait de se connecter au compte administrateur d’Air Transport International

Administrateurs KCM et CASS

  • FlyCASS exploite KCM et CASS, et il est possible d’ajouter de nouveaux employés avec des privilèges administrateur
  • Lors des tests, un nouvel employé Test TestOnly a été ajouté et s’est vu attribuer des droits d’accès à KCM et CASS
  • Cela a révélé un problème critique : n’importe qui pouvait accéder à KCM et CASS via l’injection SQL

Divulgation

  • Il a été difficile de trouver les bons contacts pour divulguer le problème
  • Le 23 avril, le problème a été signalé au Department of Homeland Security, et FlyCASS a été désactivé de KCM/CASS
  • La TSA a publié une déclaration niant l’existence de la vulnérabilité
  • La TSA a supprimé sur son site la section de saisie manuelle de l’identifiant employé

Chronologie

  • 23/04/2024 : divulgation initiale à ARINC et à la FAA
  • 24/04/2024 : divulgation de suivi au DHS
  • 25/04/2024 : le CISO du DHS confirme qu’un correctif est en cours
  • 07/05/2024 : confirmation que FlyCASS a été retiré de KCM/CASS
  • 17/05/2024 : relance au sujet de la déclaration de la TSA (pas de réponse)
  • 04/06/2024 : nouvelle relance au sujet de la déclaration de la TSA (pas de réponse)

Collaborateurs

Résumé de GN⁺

  • Cet article traite d’une vulnérabilité grave dans les systèmes de sécurité aéroportuaire
  • Des failles de sécurité dans les systèmes KCM et CASS permettaient à n’importe qui de contourner le contrôle de sécurité et d’accéder au cockpit
  • Il était possible d’obtenir des privilèges administrateur via une injection SQL, ce qui constituait une menace de sécurité majeure
  • L’article décrit en détail comment des chercheurs en sécurité ont découvert le problème et l’ont divulgué
  • Parmi les systèmes offrant des fonctionnalités similaires figurent TSA PreCheck et Global Entry

À lire aussi

1 commentaires

 
GN⁺ 2024-08-30
Avis sur Hacker News

  • Le système de la TSA est vulnérable à des erreurs élémentaires de programmation web

    • La TSA a tendance à dissimuler et nier les problèmes plutôt qu’à les corriger
    • C’est une conséquence naturelle d’une mentalité autoritariste

  • La réponse de la TSA est puérile et embarrassante

    • Le DHS a d’abord traité le rapport rapidement et de manière professionnelle, mais n’a ensuite pas su conserver la maîtrise de la résolution du problème et du processus de divulgation

  • Au-delà de la SQL injection, le fait d’avoir créé de faux dossiers d’employés est surprenant

    • Il est encore plus surprenant que Homeland n’ait pas arrêté les personnes impliquées
    • Il y avait un fort risque que cela soit interprété comme du piratage malveillant plutôt que comme une divulgation responsable

  • Avec un minimum de motivation, n’importe qui pourrait reproduire le 11 septembre sans grande difficulté

    • S’il y a si peu d’attentats, ce n’est pas parce que les agences de sécurité nous protègent, mais parce qu’il y a extrêmement peu de terroristes

  • Il est possible que le développeur de FlyCASS ait voulu un retentissement plus important, sachant que le problème serait corrigé immédiatement

  • Le fait que personne ne mentionne le stockage des mots de passe en MD5 montre à quel point la situation est grave

    • Ils sont de toute façon facilement accessibles via des requêtes SQL, ce qui rend la méthode de stockage des mots de passe sans intérêt

  • Il n’est pas surprenant que la gravité du problème soit niée, mais il est surprenant que le FBI n’ait pas été informé et qu’il n’y ait pas eu d’arrestation

  • Un simple SQL injection a neutralisé un dispositif de sécurité à plusieurs milliards de dollars

  • La réponse de la TSA est absolument sidérante

  • J’aimerais proposer d’augmenter les salaires pour que le gouvernement recrute de meilleurs talents, mais le problème semble systémique, donc cela ne serait probablement d’aucune utilité

    • Tout le monde répète les mêmes erreurs
    • Il y a eu des occasions de corriger le problème, mais elles ont été manquées