FlyCASS: eludir fácilmente el control en el aeropuerto se ha vuelto una realidad

Investigadores descubrieron una vulnerabilidad en el sistema de seguridad del transporte aéreo que permitía a personas no autorizadas eludir los controles de seguridad en los aeropuertos y acceder a las cabinas de los pilotos.

Durante la investigación, Ian Carroll y Sam Curry identificaron una vulnerabilidad en FlyCASS, un servicio web de terceros que algunas aerolíneas utilizan para gestionar el programa Known Crewmember (KCM) y el sistema de seguridad de acceso a cabinas (CASS). El programa KCM permite a los pilotos y tripulantes de cabina evitar el control de seguridad (la identificación se realiza mediante la presentación de un código de barras o un número de empleado), mientras que el sistema CASS permite a los pilotos acceder a la cabina del avión.

El sistema KCM, gestionado por ARINC (una subsidiaria de Collins Aerospace), verifica las credenciales de los empleados de las aerolíneas a través de una plataforma en línea. El proceso incluye escanear un código de barras o ingresar un número de empleado, tras lo cual el sistema compara los datos con la base de datos de la aerolínea, otorgando acceso sin necesidad de pasar por un control de seguridad. De manera similar, el sistema CASS confirma el derecho de los pilotos a acceder a la cabina cuando necesitan realizar un vuelo.

Los investigadores descubrieron que el sistema de autorización FlyCASS era vulnerable a un ataque de inyección SQL. Esta vulnerabilidad permitió a los expertos acceder al sistema como si fueran administradores de una de las aerolíneas asociadas, Air Transport International, y manipular los datos de los empleados en el sistema.

Los especialistas añadieron un empleado ficticio con el nombre "Test TestOnly" y otorgaron a esta cuenta acceso a KCM y CASS, lo que permitió al perfil "evitar los controles de seguridad y acceder a las cabinas de los aviones comerciales".

Comprendiendo la gravedad de la vulnerabilidad descubierta, los investigadores se pusieron en contacto con el Departamento de Seguridad Nacional de EE.UU. (DHS) el 23 de abril. Los especialistas decidieron no contactar directamente con el sitio FlyCASS, ya que aparentemente estaba gestionado por una sola persona y temían que la divulgación de la información alarmara a los representantes del servicio.

El Departamento de Seguridad Nacional reconoció la gravedad del problema e informó que el servicio FlyCASS fue desconectado del sistema KCM/CASS como medida de precaución el 7 de mayo. Poco después, la vulnerabilidad fue corregida.

Los intentos posteriores de coordinar la divulgación segura de la vulnerabilidad se encontraron con dificultades después de que el DHS dejara de responder a los correos de los investigadores. El departamento de prensa de la Administración de Seguridad en el Transporte (TSA) también emitió una declaración en la que negaba el impacto de la vulnerabilidad, afirmando que el proceso de verificación del sistema previene el acceso no autorizado. Posteriormente, la TSA eliminó información del sitio que contradecía sus declaraciones.

Según Carroll, la vulnerabilidad podría haber llevado a infracciones de seguridad más graves, como la modificación de perfiles existentes de miembros de KCM para evitar los controles de nuevos participantes.

Después de la publicación del informe de los investigadores, el experto Alessandro Ortiz descubrió que FlyCASS también fue atacado con el ransomware MedusaLocker en febrero. Esto fue confirmado por un análisis de Joe Sandbox, que mostró archivos cifrados y una nota de rescate.

La TSA también afirmó que ningún dato o sistema gubernamental fue comprometido y que no hubo consecuencias para la seguridad del transporte. La TSA subrayó que no confía exclusivamente en la base de datos para verificar la identidad de los miembros de la tripulación y que dispone de procedimientos para confirmar la identidad de los empleados a los que se les permite acceder a las zonas de alta seguridad en los aeropuertos.