Flughafen-Sicherheitskontrollen in den USA ĂĽber SQL-Injection umgangen
Sicherheitsforschern in den USA ist es gelungen, über SQL-Injection das FlyCASS-Sicherheitssystem zu täuschen und damit Zugangssperren zu umgehen.
Den beiden Sicherheitsexperten Ian Caroll und Sam Curry ist es offenbar gelungen, eine Schwachstelle in der Online-Plattform des FlyCASS-Kontrollsystems auszunutzen, um damit Zugänge zu Sicherheitsbereichen zu erlangen, die normalerweise Crewmitgliedern vorbehalten sind. Die erschlichene Zugangsberechtigung soll sogar Zutritt zu Bereichen wie dem Cockpit von Maschinen ermöglicht haben. Das zentrale Zugangssystem der US-amerikanischen Transportsicherheitsbehörde (TSA) namens Known Crewmember (KCM) machte dies möglich.
Freier Zugang zum Cockpit
Um Zugang zu bekommen, wird beispielsweise ein KCM-Barcode eingescannt oder eine Mitarbeiternummer eingegeben, die dann mit der Datenbank der Fluggesellschaft abgeglichen wird. Passen die Daten, geben die Systeme für das Flugpersonal vor Ort den Zugang ohne weitere Sicherheitskontrolle frei. Ein ähnliches System ermöglicht auch den Zugang zum Cockpit und wird Cockpit Access Security System (CASS) genannt. Dieses kontrolliert beispielsweise Piloten, die den internen Cockpit-Jumpseat (Klappsitz) für Pendelverkehr oder Reisen nutzen möchten.
Caroll berichtete über diese Sicherheitslücke zuerst in einem Blogbeitrag. Über die FlyCASS-Webseite, die als Dienstleister kleineren Fluggesellschaften eine Webschnittstelle zum zentralen Access Security System (CASS) bietet, gelang der Zugriff auf das KCM-System. Durch Dateneinspielung via SQL-Injection war es möglich, Daten der Flugbesatzungen mehrerer Airlines in den USA einzusehen und zu manipulieren. Ebenfalls durch SQL-Injection konnten die Forscher sich als Administrator der US-amerikanischen Frachtfluggesellschaft Air Transport International (ATI) anmelden. Über diesen Account war es dann leicht, Listen der Piloten sowie des Flugpersonals der Airline einzusehen und zu bearbeiten.
Auch das Hinzufügen neuer virtueller Mitarbeiter und die Zuweisung von Zugangs- und Zugriffsrechten für diese Mitarbeiter war dann offenbar problemlos. "Jeder, der Grundkenntnisse über SQL-Injections hat, konnte sich auf dieser Website anmelden und jeden beliebigen Benutzer zu KCM und CASS hinzufügen, sodass er die Sicherheitskontrollen umgehen und sich Zugang zum Cockpit eines Verkehrsflugzeugs verschaffen konnte", erläuterte Caroll.
Laut Caroll ist die Sicherheitslücke beim Online-Portal FlyCASS inzwischen geschlossen. Dabei nahmen die Forscher direkt mit der Heimatschutz-Behörde in den USA Kontakt auf. Die Lösung des Problems durch direkten Kontakt mit den FlyCASS-Portalbetreibern erschien den Forschern nach eigenen Aussagen zu riskant, da der Dienst offenbar von einer Einzelperson betrieben wird.
(usz)