- Sam Curry và tôi đã dành rất nhiều thời gian trong hàng chờ kiểm tra an ninh ở sân bay
- Known Crewmember (KCM) là một chương trình của TSA cho phép phi công và tiếp viên bỏ qua khâu kiểm tra an ninh
- Quy trình KCM khá đơn giản: nhân viên sử dụng làn riêng và xuất trình mã vạch KCM hoặc số nhân viên
- Cockpit Access Security System (CASS) cũng là một hệ thống tương tự, cho phép phi công sử dụng ghế nhảy
ARINC
- ARINC ký hợp đồng với TSA để vận hành hệ thống KCM
- ARINC vận hành một website và API để phi công và tiếp viên có thể kiểm tra trạng thái KCM của mình
- Mỗi hãng hàng không vận hành hệ thống xác thực riêng và tương tác với "hub" của ARINC
- TSA và các hãng hàng không gửi
CockpitAccessRequest và CrewVerificationRequest tới ARINC, sau đó ARINC định tuyến chúng tới hệ thống của hãng hàng không phù hợp
FlyCASS.com
- FlyCASS cung cấp giao diện web cho các hãng hàng không quy mô nhỏ
- Qua việc kiểm thử SQL injection, một lỗ hổng bảo mật đã được phát hiện trong FlyCASS
- SQL injection cho phép đăng nhập vào tài khoản quản trị của Air Transport International
Quản trị viên KCM và CASS
- FlyCASS vận hành KCM và CASS, và với quyền quản trị có thể thêm nhân viên mới
- Qua thử nghiệm, đã thêm một nhân viên mới là
Test TestOnly và cấp quyền truy cập KCM cùng CASS
- Từ đó phát hiện ra một vấn đề nghiêm trọng: bất kỳ ai cũng có thể truy cập KCM và CASS thông qua SQL injection
Công bố
- Đã gặp khó khăn trong việc tìm đầu mối liên hệ phù hợp để công bố vấn đề
- Vào ngày 23/04, vấn đề được báo cáo cho Bộ An ninh Nội địa, và FlyCASS bị vô hiệu hóa khỏi KCM/CASS
- TSA đã đưa ra tuyên bố phủ nhận lỗ hổng
- TSA đã xóa mục nhập thủ công ID nhân viên khỏi website
Dòng thời gian
- 23/04/2024: Công bố ban đầu cho ARINC và FAA
- 24/04/2024: Công bố tiếp theo cho DHS
- 25/04/2024: CISO của DHS xác nhận đang xử lý khắc phục
- 07/05/2024: Xác nhận FlyCASS đã bị tách khỏi KCM/CASS
- 17/05/2024: Theo dõi thêm về tuyên bố của TSA (không có phản hồi)
- 04/06/2024: Theo dõi thêm về tuyên bố của TSA (không có phản hồi)
Cộng tác viên
Tóm tắt của GN⁺
- Bài viết này đề cập đến một lỗ hổng nghiêm trọng trong hệ thống an ninh sân bay
- Lỗi bảo mật trong các hệ thống KCM và CASS đã tạo ra nguy cơ cho phép bất kỳ ai bỏ qua kiểm tra an ninh và tiếp cận buồng lái
- Có thể giành được quyền quản trị thông qua SQL injection, và đây là một mối đe dọa bảo mật nghiêm trọng
- Bài viết mô tả chi tiết quá trình các nhà nghiên cứu bảo mật phát hiện và công bố vấn đề
- Các hệ thống có chức năng tương tự bao gồm TSA PreCheck và Global Entry
1 bình luận
Ý kiến trên Hacker News
Hệ thống TSA dễ bị tổn thương trước những lỗi lập trình web cơ bản
Cách phản ứng của TSA vừa non nớt vừa đáng xấu hổ
Điều gây ngạc nhiên không chỉ là SQL injection mà còn là việc đã tạo ra hồ sơ giả cho nhân viên
Bất kỳ ai có chút động cơ cũng không khó để tái hiện vụ 11/9
Có thể nhà phát triển FlyCASS biết rằng vấn đề sẽ được sửa ngay nên muốn tạo tiếng vang lớn hơn
Việc không ai nhắc đến chuyện mật khẩu được lưu bằng MD5 cho thấy tình hình nghiêm trọng đến mức nào
Việc phủ nhận mức độ nghiêm trọng của vấn đề thì không có gì lạ, nhưng việc không báo cho FBI hoặc không bắt giữ ai mới là điều đáng ngạc nhiên
Một hệ thống an ninh trị giá hàng tỷ đô đã bị vô hiệu hóa bởi một vụ SQL injection đơn giản
Phản ứng của TSA thực sự rất gây sốc
Tôi muốn đề xuất tăng lương để chính phủ tuyển được người giỏi hơn, nhưng vấn đề có vẻ mang tính hệ thống nên chắc cũng không hiệu quả