Las fallas en una aplicación de terceros que permite a las aerolíneas más pequeñas cargar pilotos y tripulantes de vuelo en listas previamente autorizadas podrían haber ayudado a «pilotos falsos» a saltear controles de seguridad clave.
El error habría permitido a actores maliciosos agregar a cualquier persona que quisieran a la base de datos del programa de tripulantes conocidos, lo que permite a la Administración de Seguridad del Transporte (TSA) identificar al personal de las aerolíneas que puede eludir sus puntos de control de seguridad.
Los dos investigadores de ciberseguridad, «cazadores de errores», que encontraron la falla dijeron que habían informado del problema de forma privada en abril pasado tanto a la Administración Federal de Aviación como al Departamento de Seguridad Nacional de Estados Unidos, que gestiona la TSA.
El preocupante descubrimiento sigue a un informe de la TSA que indica que 300 personas han evadido la seguridad del aeropuerto desde marzo de 2023: «un número mayor de lo que pensábamos», dijo la agencia.
Los investigadores de ciberseguridad afirmaron que las fallas en la aplicación de terceros FlyCASS (que permite a las aerolíneas más pequeñas incluir a los pilotos y a la tripulación de vuelo en listas aprobadas previamente por la TSA) pueden haber ayudado a los «pilotos falsos» a saltarse los controles de seguridad. Arriba, controles de la TSA en acción en el Aeropuerto Internacional de Denver en 2019
Sólo la FAA ha tomado las medidas adecuadas, dijeron, y agregaron que «la oficina de prensa de la TSA emitió declaraciones peligrosamente incorrectas sobre la vulnerabilidad».
La pareja de investigadores de seguridad, Ian Carroll y Sam Currydijeron que descubrieron la vulnerabilidad en los sistemas de inicio de sesión del sitio web de terceros del proveedor FlyCASS.
FlyCASS permite a los clientes de pequeñas aerolíneas cargar la información de sus tripulaciones tanto al sistema de tripulantes conocidos (KCM) de la TSA como al sistema de seguridad de acceso a la cabina (CASS) de la FAA.
«Cualquier persona con conocimientos básicos de inyección SQL podría iniciar sesión en este sitio y agregar a quien quisiera a KCM y CASS», dijo el dúo, «lo que les permitiría saltear los controles de seguridad y luego acceder a las cabinas de los aviones comerciales».
«Nos dimos cuenta de que habíamos descubierto un problema muy grave», añadieron Carroll y Curry.
Expertos en informática de la Universidad de California en Berkley han descrito las inyecciones SQL como «uno de los mecanismos de ataque web más comunes utilizados por los atacantes para robar datos confidenciales de las organizaciones».
La técnica aprovecha un problema común con el lenguaje de consulta estructurado (SQL) utilizado para alojar bases de datos de información en la web.
El ataque permite a un pirata informático cargar código SQL procesable en interfaces de usuario como formularios de contacto en sitios web o, en este caso, la aplicación web FlyCASS para aerolíneas.
Mediante una serie de inyecciones SQL básicas, los investigadores de seguridad pudieron obtener por primera vez privilegios de administración en FlyCASS para la pequeña aerolínea de carga con base en Ohio, Air Transport International.
Carroll y Curry informaron que luego pudieron cargar un empleado falso de la aerolínea Air Transport International, llamado ‘Test TestOnly’ con una foto de identificación y pudieron autorizar a ‘TestOnly’ para el acceso a KCM y CASS.
El secretario de prensa de la TSA, R. Carter Langston, negó que los hallazgos de los investigadores de seguridad fueran tan nefastos como afirmaban ambos.
Utilizando técnicas de ‘inyección SQL’, los investigadores de seguridad lograron obtener privilegios de administración en FlyCASS para la pequeña aerolínea de carga con sede en Ohio Air Transport International.
Carrol y Curry informaron que pudieron cargar un empleado falso de la aerolínea, llamado ‘Test TestOnly’ (arriba), y pudieron autorizar el acceso falso tanto a KCM como a CASS.
Los dos investigadores de ciberseguridad ahora también acusaron a la TSA de emitir «declaraciones peligrosamente incorrectas sobre la vulnerabilidad», minimizando el riesgo que esto puede suponer para el tráfico aéreo.
La TSA, según Langston, «no se basa únicamente en esta base de datos para verificar la identidad de los miembros de la tripulación».
«La TSA tiene procedimientos establecidos para verificar la identidad de los miembros de la tripulación», dijo Langston. Computadora que emite pitidos‘y sólo a los miembros de la tripulación verificados se les permite el acceso al área segura de los aeropuertos.’
«No se vieron comprometidos datos ni sistemas gubernamentales y no hay impactos en la seguridad del transporte relacionados con las actividades», enfatizó el portavoz de la agencia.
En Una actualización En su informe, Carroll y Curry respondieron, señalando que los privilegios de administrador que lograron obtener les permitieron también editar perfiles ya existentes en la base de datos de tripulantes conocidos, no solo agregar nuevos.
«Dado que nuestra vulnerabilidad nos permitió editar un miembro existente de KCM», dijeron, «podríamos haber cambiado la foto y el nombre de un usuario registrado existente, lo que probablemente evitaría cualquier proceso de investigación que pueda existir para los nuevos miembros».
