Un atacante podría haber añadido pilotos falsos a la lista utilizando inyección SQL.
Por qué es importante: Investigadores de seguridad han descubierto una importante vulnerabilidad que podría haber permitido a cualquiera burlar la seguridad de los aeropuertos e incluso acceder a las cabinas de los aviones. El fallo se encontró en el sistema de inicio de sesión utilizado por la Administración de Seguridad en el Transporte para verificar a los miembros de la tripulación de las aerolíneas en los puntos de control.
La historia comenzó en abril, cuando los investigadores Ian Carroll y Sam Curry exploraban un sitio web de terceros llamado FlyCASS. Este proveedor ofrece a las compañías aéreas más pequeñas acceso a las bases de datos de miembros conocidos de la tripulación (Known Crewmember, KCM) y del sistema de seguridad de acceso a la cabina (Cockpit Access Security System, CASS) de la TSA. Mientras probaban la página de inicio de sesión del sitio, observaron que aparecía un error MySQL revelador después de insertar un apóstrofo, un signo clásico de un fallo de inyección SQL.
Actualización (10 de septiembre): La Administración de Seguridad en el Transporte (TSA) ha emitido un comunicado al respecto y nos ha pedido que actualicemos esta noticia con los siguientes detalles:
En abril, la TSA tuvo conocimiento de un informe según el cual se había descubierto una vulnerabilidad en la base de datos de un tercero que contenía información sobre los tripulantes de las aerolíneas y que, mediante la comprobación de la vulnerabilidad, se había añadido un nombre no verificado a una lista de tripulantes de la base de datos. Esta vulnerabilidad fue resuelta inmediatamente por el tercero. No se puso en peligro ningún dato o sistema gubernamental y no hay repercusiones en la seguridad del transporte relacionadas con estas actividades.El artículo original se reproduce a continuación:
La TSA no depende únicamente de esta base de datos para verificar la identidad de los tripulantes. La TSA cuenta con procedimientos para verificar la identidad de los tripulantes y sólo se permite el acceso a la zona segura de los aeropuertos a los tripulantes verificados. La TSA trabajó con las partes interesadas para mitigar cualquier vulnerabilidad cibernética identificada.
Para los que no estén familiarizados, la inyección SQL es una técnica en la que se inserta código malicioso en las consultas de una aplicación para manipular ilícitamente la base de datos backend. En este caso, los investigadores se dieron cuenta de que FlyCASS interpolaba los nombres de usuario directamente en sus consultas SQL, lo que lo hacía vulnerable a la explotación.
Aprovechando este fallo, consiguieron entrar como administradores en una aerolínea. Una vez dentro, no encontraron ningún otro control de seguridad, lo que les dio vía libre para crear cuentas de tripulación falsas, con números de empleado e identificaciones con foto.
Carroll añadió que cualquiera con «conocimientos básicos» de inyección SQL podía aprovechar el fallo y acceder al sitio.
Al darse cuenta de la gravedad del problema, Carroll y Curry informaron al Departamento de Seguridad Nacional el 23 de abril. La agencia matriz de la TSA confirmó que la vulnerabilidad era legítima e hizo desconectar FlyCASS de las bases de datos federales el 7 de mayo como medida temporal.
Afortunadamente, la vulnerabilidad se solucionó poco después en FlyCASS.
Sin embargo, el proceso de divulgación sufrió un revés cuando el DHS dejó de responder repentinamente a nuevos intentos de coordinación. Los investigadores afirman que la oficina de prensa de la TSA emitió «declaraciones peligrosamente incorrectas» sobre la vulnerabilidad.
Por su parte, el portavoz de la TSA, R. Carter Langston, declaró que la vulnerabilidad no había puesto en peligro ningún dato o sistema gubernamental. Añadió que la agencia no depende únicamente de la base de datos y que cuenta con procedimientos «para verificar la identidad de los miembros de la tripulación, y sólo a los miembros de la tripulación verificados se les permite el acceso a las zonas seguras de los aeropuertos.»
Comentarios del Lector
a nuestro Boletín