研究人员 Ian Carroll 和 Sam Curry 发现 TSA 的已知机组人员 (KCM) 和驾驶舱进入安全系统 (CASS) 中存在一个严重漏洞,可让攻击者绕过机场安检,未经授权进入商用客机的驾驶舱。
该漏洞是在名为 FlyCASS 的 Web 界面中发现的,该界面由 ARINC(柯林斯航空航天公司的子公司)运营,TSA 签约该公司为参与的航空公司管理 KCM 和 CASS,FlyCASS可让小型航空公司轻松与这些系统整合。
- 通过利用 FlyCASS 中的 SQL 注入漏洞,研究人员能够以航空公司(国际航空运输公司)管理员的身份登录,并将任何他们想要的人添加到 KCM 和 CASS 授权用户列表中。
- 这样他们就可以创建一个测试员工账户,该账户已获准访问 KCM 和 CASS,从而展示绕过安全检查并进入驾驶舱的能力
研究人员于 2024 年 4 月 23 日向国土安全部披露了该漏洞。FlyCASS随后在 KCM/CASS 中被禁用,后来得到修复。
然而, TSA 新闻办公室发表了错误声明,否认了该漏洞的影响,研究人员试图纠正这一错误声明。
研究人员发现,即使新的 KCM 成员需要审查,也可以更改现有注册用户的照片和姓名以绕过审查,获取未注册的 KCM 条形码还允许在 KCM 网站上自行注册员工 ID
网友:
1、可笑的是,整个 TSA 系统都容易受到最基本的网络编程错误的影响,您通常花 10 分钟阅读有关网络编程的文章就可以学会避免这种错误,而且每个质量不错的网络框架都会自动防止这种错误。
2、他们试图掩盖和否认而不是解决问题,这确实很能说明问题,但这并不奇怪。这是威权主义思维的自然结果,而威权主义思维正是 TSA 的整个前提和文化。任何掩盖和忽视生存风险而不是正面面对风险的机构最终都会因其疏忽而崩溃——希望 TSA 会遭遇这种情况。
3、身份验证不应该由每个组织重新实施。我们应该有官方的身份验证服务器,这样 FlyCASS 就不必担心身份管理,而只需将其交给 id.texas.gov(或他们运营的任何州),就像大多数一次性工具网站使用 Google 登录一样。
4、这似乎正是美国数字服务应该承担的工作。仍然需要审核以确保网站确实使用共享身份验证而不是自行使用。