Security Week 2436: SQL-инъекция для прохода в аэропорт без очереди

На прошлой неделе исследователи Сэм Карри и Иэн Кэрролл сообщили о серьезной уязвимости в одном из сервисов, используемых для обеспечения безопасности в аэропортах США. В этой стране контроль безопасности во всех аэропортах передан общей администрации, известной как Transportation Security Administration. TSA обеспечивает в том числе специальные программы TSA PreCheck, ускоряющие проход для обычных пассажиров. Для пилотов и членов экипажей, как правило, предусмотрена отдельная очередь. Как выяснили Карри и Кэрролл, для записи в «члены экипажа» существует отдельная система, открытая для ряда сторонних организаций. И в одном из таких сторонних сервисов обнаружилась довольно банальная уязвимость.

0j8zfkvg9nyqxyfl7awro-ujbxu.png

В исследовании речь идет не только о быстром прохождении через контроль безопасности в аэропортах. Помимо этой системы, известной как Known Crewmember, существует также база данных Cockpit Access Security System. Она позволяет получить доступ в кокпит самолета. Например, если пилот авиакомпании летит пассажиром, то он может воспользоваться свободным местом в кабине летного экипажа. Администрированием этих двух систем занимается коммерческая компания Collins Aerospace, но она по сути предоставляет API, в то время как реальными «пропусками» управляют отдельные авиакомпании. И вот здесь авторы исследования наткнулись на сервис FlyCASS. В то время как крупные авиакомпании имеют собственные проприетарные системы контроля доступа, FlyCASS предоставляет услуги более мелким операторам. На сайте FlyCASS.com для каждого из них предусмотрен отдельный личный кабинет.

Систему контроля доступа FlyCASS оказалось легко обойти: веб-сервис был подвержен банальной уязвимости, обеспечивающей возможность SQL-инъекции. Используя «логин» ' or '1'='1 и «пароль» ') OR MD5('1')=MD5('1 исследователи смогли получить доступ к админке одной из использующих сервис авиакомпаний. Там было возможно как вывести список уже зарегистрированных в системе пилотов и членов экипажа, так и добавить новых пользователей — без каких-либо дополнительных проверок. Через уязвимый сервис потенциальные злоумышленники могли бы добавить кого угодно в список авторизованных лиц, причем как для быстрого прохождения контроля в аэропортах, так и для доступа в кабину экипажа.

После того как исследователи еще в апреле этого года сообщили о находке в ответственные органы, доступ сервиса FlyCASS к общим системам безопасности в аэропортах был временно отключен. Уязвимость затем была успешно закрыта. Данный инцидент еще раз демонстрирует, что даже самые серьезные системы безопасности часто имеют уязвимые точки. Реагируя на сообщение Сэма Карри и Иэна Кэрролла, Департамент внутренней безопасности США поначалу попытался представить инцидент как несерьезный, настаивая, что все записанные в базы для «упрощенного доступа» лица проходят дополнительные проверки. Исследователи, впрочем, утверждают, что эти дополнительные меры на самом деле не всегда работают.

Что еще произошло

Исследователи «Лаборатории Касперского» разбирают вредоносное ПО для Mac OS, нацеленное на пользователей китайского мессенджера WeChat.

Уязвимость в камерах наблюдения тайваньской компании AVTECH удостоилась особого предупреждения от американского государственного агентства по кибербезопасности. В ряде камер данного производителя с 2019 года существует уязвимость, позволяющая получить полный контроль над устройством. Пострадавшие камеры более не поддерживаются производителем, но, по данным агентства CISA, до сих пор активно используются организациями. С марта этого года уязвимость активно эксплуатируется ботнетом Corona Mirai.

Исследователь Маркус Хатчинс (тот самый, который в 2017 году остановил эпидемию интернет-червя WannaCry) опубликовал подробный разбор недавно закрытой серьезной уязвимости в драйвере tcpip.sys для Windows. Хатчинс не успел реализовать возможность выполнения произвольного кода, но это получилось (по крайней мере, частично) у другого исследователя.

16 августа был обнаружен вредоносный плагин ss-otr для мессенджера Pidgin, содержащий кейлоггер. А по информации компании ESET, точно такой же вредоносный код использовался малоизвестным мессенджером Cradle, который рекламировался как «защищенный» форк Signal.

В браузере Google Chrome обнаружена и закрыта десятая за этот год уязвимость класса zero day. Всего, по данным сайта zero-day.cz, в этом году публично сообщалось о 57 уязвимостях нулевого дня (активно эксплуатируемых на момент обнаружения) в различном программном обеспечении.

Вредоносная кампания использует электронные таблицы Google Sheets для реализации командного сервера.

© Habrahabr.ru