安全研究人員伊恩·卡羅爾（Ian Carroll）和薩姆·庫里（Sam Curry）在FlyCASS系統(tǒng)中發(fā)現(xiàn)了這一漏洞。FlyCASS是一個由第三方提供的web服務(wù)，一些航空公司使用它來管理和操作已知機組成員（KCM）計劃和駕駛艙訪問安全系統(tǒng)（CASS）。

KCM是美國運輸安全管理局（TSA）的一項計劃，允許飛行員和空乘人員通過機場安全處的一條特殊通道繞過安檢。而CASS則為授權(quán)飛行員在搭乘飛機時使用駕駛艙的跳座提供進入飛機駕駛艙的身份驗證。

KCM系統(tǒng)由ARINC（柯林斯宇航的子公司）運營，通過在線平臺驗證航空公司員工的身份。

KCM的流程相當(dāng)簡單，機組人員只需出示（掃描）KCM條形碼或輸入員工編號，通過TSA的終端筆記本電腦與航空公司的數(shù)據(jù)庫進行交叉核對，驗證通過的人員無需安檢即可快速進入無菌區(qū)。

CASS系統(tǒng)類似KCM，用于驗證飛行員是否有資格在通勤或旅行時進入駕駛艙內(nèi)使用“跳座”（駕駛艙內(nèi)供其無執(zhí)飛任務(wù)機組人員搭乘航班的臨時座位）。

CASS的主要功能是通過訪問航空公司員工數(shù)據(jù)庫來驗證搭乘航班的飛行員的身份和就業(yè)狀態(tài)，從而確保只有授權(quán)機組人員才能夠進入駕駛艙并使用跳座。這一系統(tǒng)在“9·11”事件后變得尤為重要，因為它可以有效減少未經(jīng)授權(quán)的人員進入駕駛艙的風(fēng)險。

研究人員發(fā)現(xiàn)，F(xiàn)lyCASS的登錄系統(tǒng)存在SQL注入漏洞，攻擊者可以利用該漏洞插入惡意SQL語句進行數(shù)據(jù)庫查詢，并以航空公司——如航空運輸國際（Air Transport International）的管理員身份登錄，篡改系統(tǒng)中的員工數(shù)據(jù)。

令研究人員驚訝的是，在FlyCASS系統(tǒng)中添加航空公司飛行員和乘務(wù)員名單無需進一步檢查認(rèn)證，可以將任何人添加為KCM和CASS的授權(quán)用戶。

研究人員成功添加一個名為“Test TestOnly”的虛構(gòu)員工賬戶，并賦予其KCM和CASS的訪問權(quán)限，實現(xiàn)了“繞過安檢并進入商用飛機駕駛艙”（上圖）。

“任何具備基本SQL注入知識的人都可以登錄該網(wǎng)站，并將任意人員添加到KCM和CASS系統(tǒng)中，從而跳過安檢并進入商用飛機的駕駛艙?！笨_爾說道。

意識到問題的嚴(yán)重性后，研究人員立即展開了漏洞披露流程，并于2024年4月23日聯(lián)系了美國國土安全部（DHS）。研究人員決定不直接聯(lián)系FlyCASS網(wǎng)站，因為它似乎由一個人運營，研究人員擔(dān)心直接披露會引起對方的恐慌。

國土安全部在接到通知后，也認(rèn)識到這一漏洞的嚴(yán)重性，并確認(rèn)FlyCASS已于2024年5月7日從KCM/CASS系統(tǒng)中斷開。不久之后，F(xiàn)lyCASS上的漏洞被修復(fù)。

然而，在進一步協(xié)調(diào)安全披露的過程中，研究人員遇到了阻力，國土安全部停止回復(fù)他們的電子郵件。

此外，TSA的新聞辦公室也向研究人員發(fā)送了一份聲明，否認(rèn)該漏洞對系統(tǒng)的影響，聲稱系統(tǒng)的審查過程會阻止未經(jīng)授權(quán)的訪問。然而，在研究人員通知TSA之后，TSA悄悄刪除了其網(wǎng)站上與其聲明相矛盾的信息。

“在我們通知TSA后，他們刪除了網(wǎng)站上提到的手動輸入員工ID的內(nèi)容，但并未回應(yīng)我們的更正。我們已確認(rèn)TSA的界面仍然允許手動輸入員工ID。”卡羅爾說道。

卡羅爾還表示，這一漏洞可能導(dǎo)致更嚴(yán)重的安全漏洞，例如攻擊者可以篡改現(xiàn)有的KCM成員檔案（例如用戶照片和姓名），冒名頂替現(xiàn)有成員從而繞過對新成員的審查過程。

在研究人員發(fā)布報告后，另一位名為阿萊桑德羅·奧爾蒂斯的研究人員發(fā)現(xiàn)，F(xiàn)lyCASS似乎在2024年2月曾遭受過MedusaLocker勒索軟件攻擊，Joe Sandbox的分析顯示該系統(tǒng)中存在被加密文件和勒索信。

此次曝光的可繞過機場安檢的嚴(yán)重漏洞再次提醒我們，即便是用于關(guān)鍵安全保障的系統(tǒng)也可能存在嚴(yán)重安全隱患，需要持續(xù)監(jiān)控和及時修補。

漏洞披露時間線：

• 2024年4月23日：首次向ARINC和FAA披露
• 2024年4月24日：隨后通過CISA向DHS披露
• 2024年4月25日：國土安全部CISO確認(rèn)他們正在制定解決方案
• 2024年5月7日：國土安全部CISO確認(rèn)FlyCASS已與KCM/CASS斷開連接
• 2024年5月17日：向國土安全部CISO跟進有關(guān)TSA聲明的情況（無回復(fù)）
• 2024年6月4日：向國土安全部CISO跟進有關(guān)TSA聲明的情況（無回復(fù)）