Beveiligingslek in luchtvaartbeveiligingssysteem blootgelegd
Twee beveiligingsonderzoekers hebben een kritieke kwetsbaarheid ontdekt in het Known Crewmember (KCM) systeem, dat gebruikt wordt door luchtvaartpersoneel om beveiligingscontroles op luchthavens te omzeilen. De lek bood kwaadwillenden de mogelijkheid om zich als geautoriseerd personeel uit te geven en toegang te krijgen tot beveiligde gebieden, waaronder cockpits van commerciële vliegtuigen.
Het onderzoek, uitgevoerd door Sam Curry en Ian Carroll, toonde aan dat een onderliggende database van het systeem, beheerd door een externe partij genaamd FlyCASS, kwetsbaar was voor SQL-injectie aanvallen. Dit betekende dat hackers met minimale technische kennis in staat waren om zich als beheerders aan te melden en willekeurige gebruikers toe te voegen aan het systeem, inclusief zichzelf.
Gevolgen van de kwetsbaarheid:
- Ongeautoriseerde toegang: Kwaadwillenden konden zich voordoen als geautoriseerd personeel en zo beveiligingscontroles omzeilen.
- Risico op terrorisme: De kwetsbaarheid stelde potentiële terroristen in staat om zich toegang te verschaffen tot beveiligde gebieden op vliegvelden.
- Verlies van privacy: Gegevens van luchtvaartpersoneel, zoals namen en foto's, konden worden bekeken en mogelijk worden misbruikt.
De onderzoekers meldden de kwetsbaarheid in april 2024 aan de Amerikaanse overheid. Hoewel het probleem inmiddels is verholpen, zijn er volgens de onderzoekers nog steeds vragen over de reactie van de luchtvaartautoriteiten. De Transportation Security Administration (TSA) heeft verklaringen afgegeven die volgens de onderzoekers niet volledig accuraat waren.