在与机场安全系统相关的应用程序中存在一个有争议的漏洞被披露后,网络安全机构 CISA 做出了回应。
8 月底,研究人员 Ian Carroll 和 Sam Curry 披露了 SQL 注入漏洞的细节,据称该漏洞可能允许攻击者绕过某些机场安全系统。
该安全漏洞是在 FlyCASS 中发现的,FlyCASS 是为参与驾驶舱进入安全系统 (CASS) 和已知机组人员 (KCM) 计划的航空公司提供的第三方服务。
KCM 是一个程序,运输安全管理局 (TSA) 的安全官员用来核实机组人员的身份和就业状况,从而使飞行员和空乘人员能够绕过安全检查。
CASS 允许航空公司登机口工作人员快速确定飞行员是否有权使用飞机驾驶舱折叠座椅,这是驾驶舱中的额外座位,可供上下班或旅行的飞行员使用。
FlyCASS 是一款基于 Web 的 CASS 和 KCM 应用程序,适用于小型航空公司。
卡罗尔和库里发现FlyCASS 中存在 SQL 注入漏洞,该漏洞使他们能够获得参与航空公司账户的管理员访问权限。
据研究人员称,通过这种访问,他们能够管理与目标航空公司相关的飞行员和乘务员名单。他们在数据库中添加了一名新“员工”来验证他们的发现。
“令人惊讶的是,航空公司无需进一步检查或认证即可添加新员工。作为航空公司的管理员,我们可以将任何人添加为 KCM 和 CASS 的授权用户。”研究人员解释道,“任何具备 SQL 注入基本知识的人都可以登录该网站,并将任何人添加到 KCM 和 CASS,这样他们既可以跳过安全检查,又可以进入商用客机的驾驶舱。”
研究人员表示,他们在 FlyCASS 应用程序中发现了“几个更严重的问题”,但在发现 SQL 注入漏洞后立即启动了披露流程。
这些问题于 2024 年 4 月报告给了 FAA、ARINC(KCM 系统的运营商)和 CISA。根据他们的报告,KCM 和 CASS 系统中的 FlyCASS 服务被禁用,并且发现的问题得到了修补。
然而,研究人员对披露过程感到不满,声称 CISA 承认了这个问题,但后来停止了回应。此外,研究人员声称 TSA“就该漏洞发表了危险的错误声明,否认了我们发现的东西”。
美国运输安全局在接受《SecurityWeek》采访时表示,FlyCASS 漏洞不可能像研究人员所说的那样轻易被利用来绕过机场安全检查。
该公司强调,这不是 TSA 系统中的漏洞,受影响的应用程序未连接到任何政府系统,并表示不会对运输安全造成影响。
“今年 4 月,TSA 获悉一份报告称,第三方数据库中存在一个漏洞,其中包含航空公司机组人员信息,通过测试该漏洞,一个未经核实的姓名被添加到数据库的机组人员名单中。政府数据或系统没有受到损害,这些活动也没有对交通安全造成影响。”TSA 发言人在电子邮件声明中表示。
TSA 并不完全依赖这个数据库来验证机组人员的身份。TSA 已制定程序来验证机组人员的身份,只有经过验证的机组人员才允许进入机场的安全区域。TSA 与利益相关者合作,以减轻任何已发现的网络漏洞。
当该消息曝光时,CISA 并未针对这些漏洞发表任何声明。
该机构现已回应了SecurityWeek 的评论请求,但其声明并未对 FlyCASS 缺陷的潜在影响提供太多澄清。
“CISA 意识到 FlyCASS 系统中使用的软件存在漏洞。我们正在与研究人员、政府机构和供应商合作,以了解系统中的漏洞以及适当的缓解措施。”CISA 发言人表示,并补充道,“我们正在监测任何被利用的迹象,但迄今为止尚未发现任何漏洞。”
转自军哥网络安全读报
暂无评论内容