شهریور ۲۶, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat
  • صفحه خانگی
  • >
  • یییی اسلاید
  • >
  • محققان روشی را کشف کرده‌اند که با استفاده از حمله SQL injection می‌توان از سیستم‌های امنیتی TSA در فرودگاه‌ها عبور کرد.

محققان روشی را کشف کرده‌اند که با استفاده از حمله SQL injection می‌توان از سیستم‌های امنیتی TSA در فرودگاه‌ها عبور کرد.

پژوهشگران امنیتی یک آسیب‌پذیری در یک سیستم امنیتی مهم مرتبط با حمل‌ونقل هوایی پیدا کرده‌اند که به افراد غیرمجاز این امکان را می‌داده است که از چک‌های امنیتی فرودگاه عبور کنند و احتمالاً به کابین خلبان هواپیما دسترسی پیدا کنند.

پژوهشگران امنیتی به نام‌های Ian Carroll و Sam Curry توانسته‌اند در FlyCASS، که برای مدیریت KCM و CASS استفاده می‌شود، یک آسیب‌پذیری پیدا کنند. این برنامه‌ها به خدمه پرواز امکان می‌دهند که بدون انجام چک‌های امنیتی عادی به فرودگاه دسترسی پیدا کنند یا از صندلی‌های مخصوص در کابین خلبان استفاده کنند.

سیستم KCM، که توسط شرکت ARINC( یکی از زیرمجموعه‌های Collins Aerospace ) اداره می‌شود، اعتبارنامه‌های کارکنان خطوط هوایی را از طریق یک پلتفرم آنلاین بررسی می‌کند. فرآیند بررسی شامل اسکن بارکد KCM یا وارد کردن شماره کارمند است. سپس این اطلاعات با پایگاه داده شرکت هواپیمایی مطابقت داده می‌شود تا بدون نیاز به انجام چک امنیتی، دسترسی اعطا شود. به همین ترتیب، سیستم CASS نیز خلبانان را برای دسترسی به صندلی‌های ویژه در کابین خلبان (jumpseat) زمانی که نیاز به سفر یا جابجایی دارند، بررسی می‌کند.

پژوهشگران متوجه شدند که سیستم ورود به FlyCASS به آسیب‌پذیری SQL injection مبتلا است. این نوع آسیب‌پذیری به مهاجمان اجازه می‌دهد که دستورات SQL مخرب را برای انجام پرس‌وجوهای غیرمجاز روی پایگاه داده وارد کنند. با بهره‌گیری از این نقص، پژوهشگران توانستند به‌عنوان یک مدیر (administrator) در یکی از شرکت‌های هواپیمایی عضو سیستم به نام Air Transport International وارد شوند و داده‌های کارکنان را درون سیستم دستکاری کنند.

ژوهشگران یک کارمند جعلی با نام “Test TestOnly” به سیستم اضافه کردند و به این حساب دسترسی به برنامه‌های KCM و CASS را دادند. این اقدام به آن‌ها این امکان را می‌داد که به طور مؤثر از چک‌های امنیتی فرودگاه عبور کنند و سپس به کابین خلبان هواپیماهای تجاری دسترسی پیدا کنند.

Carroll یکی از پژوهشگران گفته است: «هر کسی که دانش پایه‌ای از حمله SQL injection داشته باشد، می‌توانست به این سایت وارد شود و هر کسی را که می‌خواست به برنامه‌های KCM و CASS اضافه کند. با این کار، این فرد می‌توانست هم از چک‌های امنیتی فرودگاه عبور کند و هم به کابین خلبان هواپیماهای تجاری دسترسی پیدا کند.

وقتی پژوهشگران متوجه شدت و خطرناک بودن این مشکل شدند، فوراً فرایند افشای مشکل را آغاز کردند و در تاریخ ۲۳ آوریل ۲۰۲۴ با وزارت امنیت داخلی آمریکا (DHS) تماس گرفتند. پژوهشگران تصمیم گرفتند مستقیماً با سایت FlyCASS تماس نگیرند زیرا به نظر می‌رسید که این سایت توسط یک نفر اداره می‌شود و آن‌ها نگران بودند که اطلاع‌رسانی مستقیم باعث هراس این فرد شود.

وزارت امنیت داخلی آمریکا (DHS) به این گزارش پاسخ داد و ضمن تأیید جدی بودن این آسیب‌پذیری، اعلام کرد که به عنوان یک اقدام احتیاطی، سایت FlyCASS در تاریخ ۷ می ۲۰۲۴ از سیستم KCM/CASS جدا شد. اندکی بعد، این آسیب‌پذیری در FlyCASS برطرف شد.

با این‌که پژوهشگران تلاش کردند تا به هماهنگی‌های بیشتری برای افشای ایمن آسیب‌پذیری ادامه دهند، اما این تلاش‌ها با مقاومت مواجه شد، زیرا وزارت امنیت داخلی آمریکا (DHS) از پاسخ دادن به ایمیل‌های آن‌ها دست کشید.

دفتر مطبوعات TSA( سازمان امنیت حمل و نقل ) نیز به پژوهشگران یک بیانیه ارسال کرد که تأثیر این آسیب‌پذیری را رد می‌کرد و ادعا می‌کرد که فرآیند بررسی سیستم مانع از دسترسی غیرمجاز خواهد شد. پس از اینکه پژوهشگران اطلاعاتی را به TSA منتقل کردند، این سازمان به طور خاموشانه اطلاعاتی را از وب‌سایت خود حذف کرد که با بیانیه‌هایش مغایرت داشت.

Carroll گفته است: «پس از اینکه ما TSA را از این موضوع مطلع کردیم، آن‌ها بخش وب‌سایت خود که به وارد کردن دستی شماره کارمند اشاره داشت را حذف کردند و به اصلاح ما پاسخ ندادند. ما تأیید کردیم که رابط کاربری مورد استفاده توسط TSOs( افسران امنیتی ترمینال ) هنوز هم امکان ورود دستی شماره‌های کارمندی را فراهم می‌کند.

این آسیب‌پذیری می‌توانسته به مهاجمین این امکان را بدهد که پروفایل‌های اعضای فعلی را تغییر دهند و به این ترتیب فرآیندهای امنیتی و بررسی برای اعضای جدید را نادیده بگیرند، که می‌تواند به دسترسی غیرمجاز و نقض‌های امنیتی گسترده‌تری منجر شود.

پس از انتشار گزارش پژوهشگران، پژوهشگر دیگری به نام  Alesandro Ortiz کشف کرد که به نظر می‌رسید FlyCASS در فوریه ۲۰۲۴ به یک حمله باج‌افزار MedusaLocker دچار شده باشد. تحلیل Joe Sandbox نشان داد که فایل‌های رمزگذاری‌شده و یادداشت درخواست باج وجود دارد.

TSA از کشف آسیب‌پذیری در پایگاه داده‌ای که اطلاعات خدمه خطوط هوایی را شامل می‌شود آگاه شده و پس از آزمایش، متوجه شده‌اند که نامی غیرتایید شده به پایگاه داده اضافه شده است، اما تأکید می‌کند که این حادثه تأثیری بر داده‌ها یا سیستم‌های دولتی نداشته و هیچ تهدیدی برای امنیت حمل و نقل ایجاد نکرده است.

TSA برای تأیید هویت خدمه تنها به پایگاه داده خاصی وابسته نیست و اقدامات و رویه‌های اضافی برای تأمین امنیت دارد. همچنین، TSA با همکاری با ذینفعان مختلف، به مقابله با آسیب‌پذیری‌های سایبری شناسایی‌شده پرداخته است.

 

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب