Este fallo permitía saltarse los controles de seguridad en los aeropuertos
El importante fallo de seguridad que habría estado permitiendo a actores maliciosos saltarse la cola de los controles de seguridad en los aeropuertos y hasta acceder a cabina.
Importante fallo de seguridad fue encontrado en uno de los sistemas de autorización de la Administración de Seguridad en el Transporte de Estados Unidos (TSA), en la que permitía a prácticamente cualquier persona, no solo saltarse los controles de seguridad, sino igualmente acceder a la cabina de los aviones.
Investigadores han descubierto un fallo que habría estado permitiendo saltarse las filas de los controles de seguridad en los aeropuertos y que afectaría a uno de los sistemas de verificación de miembros de tripulación.
Esto permitiría a los actores maliciosos crearse un usuario falso a través de uno de estos sistemas de verificación de miembros de la tripulación, para saltarse la fila del control de seguridad, incluso volar dentro de cabina.
Así lo ha señalado Ian Carroll quien ha localizado un fallo en uno de los sistemas de autorización de la Administración de Seguridad en el Transporte de Estados Unidos “TSA), un fallo que afectaba al programa de miembros de la tripulación conocido (KCM).
Este programa para miembros brinda un acceso rápido y especial para los pilotos y miembros de la tripulación en los aeropuertos, y por lo tanto evadir los controles de seguridad y pasar directamente a las salas de espera.
El investigador añade que el fallo fue localizado en uno de los proveedores que ofrecen este programa a aerolíneas pequeñas, dado que las aerolíneas grandes cuentan con su propio programa al respecto.
Con la técnica de inyección de SQL, los investigadores accedieron a la web como administradores y crearon un usuario falso sin requerirse ningún tipo de verificación adicional.
Así que los investigadores descubrieron que el sistema de inicio de sesión FlyCASS era susceptible a la inyección de SQL, permitiendo a los atacantes insertar secuencias para realizar consultas maliciosas a base de datos.
Con esto podrían iniciar sesión como administradores en una aerolínea participante y manipular los datos de los empleados dentro del sistema.
Evidentemente al hacerse público el fallo, es porque la vulnerabilidad ya fue parcheada tiempo atrás.