Expertos descubren que una inyección SQL permite eludir controles de seguridad en aeropuertos
Los investigadores en ciberseguridad han descubierto una vulnerabilidad en un sistema crítico de seguridad del transporte aéreo, el cual permitía a usuarios no autorizados eludir los controles de seguridad de los aeropuertos y acceder a las cabinas de los aviones.
Diversos investigadores descubrieron esta vulnerabilidad en FlyCASS, el cual es un servicio web de terceros que múltiples aerolíneas emplean para la gestión del programa de tripulantes, conocido como KCM y el sistema de seguridad de acceso a la cabina o CASS, por sus siglas en inglés.
En este sentido, KCM es una iniciativa de la TSA o Administración de Seguridad del Transporte, que permite a los pilotos y las azafatas saltarse los controles de seguridad. Por otro lado, el CASS permite a los pilotos autorizados usar asientos auxiliares en las cabinas de los aviones cuando viajan.
Ante todo esto, los expertos descubrieron que el sistema de inicio de sesión de FlyCASS era susceptible a una inyección SQL, una vulnerabilidad que permite a los actores maliciosos insertar sentencias SQL para realizar consultas a bases de datos. Al explotar la falla, podían iniciar sesión como administrador en una aerolínea y manipular los datos de los empleados dentro de la plataforma.
Incluso, pudieron agregar un trabajador ficticio y le otorgaron a esta cuenta acceso a KCM y a CASS. Esto ha permitido, efectivamente, saltarse los controles de seguridad y después, acceder a las cabinas de los aviones comerciales, según las declaraciones de los especialistas en ciberseguridad.
Cuando se dieron cuenta de la gravedad de este problema, los investigadores comenzaron un proceso de divulgación, comunicándose con el Departamento de Seguridad Nacional, hace poco tiempo. Los especialistas decidieron no comunicarse con la plataforma FlyCASS de forma directa, debido a que la vulnerabilidad parecía dirigida por una sola persona y temían que la divulgación los alertara.
El Departamento de Seguridad Nacional respondió, reconociendo la gravedad de esta vulnerabilidad, confirmando que FlyCASS se pudo desconectar del sistema KCM/CASS en mes de mayo de este año, como medida de precaución. Sin embargo, días después, se solucionó la vulnerabilidad en FlyCASS.
No obstante, los esfuerzos por coordinar una divulgación segura de dicha vulnerabilidad, se encontraron con algo de resistencia, después de que el DHS dejara de responder a los correos electrónicos de la organización.
Por esta razón, la oficina de prensa de la TSA envió a los investigaciones una carta negando el impacto de la vulnerabilidad, en donde afirmaron que el proceso de verificación del sistema, podría evitar el acceso no autorizado. Luego de ser informada por los investigadores, la TSA eliminó información de su página web de forma silenciosa, ya que contradecía sus declaraciones.
Los investigadores de seguridad expresaron también que la falla podría haber permitido brechas de seguridad más extensas, como la alteración de los perfiles de los usuarios existente de KCM, con el objetivo de eludir cualquier proceso de investigación de antecedentes para los nuevos usuarios.
Después de publicado el informe, otro especialista de seguridad descubrió que FlyCASS parecía haber sufrido un ataque de ransomware en el mes de febrero de este año. Todo ello mediante un análisis de Sandbox, el cual mostraba archivos cifrados y una nota de rescate.
