В аэропортах обнаружен серьезный пробел в системе безопасности

Известные исследователи безопасности Ян Кэрролл (Ian Carroll) и Сэм Карри (Sam Curry) обнаружили серьезные уязвимости в системе FlyCASS. Это веб-система управления, используемая небольшими авиакомпаниями для управления программами Known Crewmember (KCM) и Access Security System (CASS).

Программа KCM позволяет авторизованному летному персоналу обходить регулярные проверки безопасности в аэропортах, а CASS регулирует доступ в кабину самолета. Уязвимость, обнаруженная исследователями, позволяет хакерам войти в систему под именем администратора с помощью так называемой атаки SQL-инъекции, при которой любой человек может быть добавлен в качестве КСМ или зарегистрирован в CASS. На практике это может позволить неавторизованным лицам обойти проверки безопасности и даже попасть в кабину самолета. FlyCASS в основном используется американскими авиакомпаниями. Неясно, затронуты ли и европейские авиакомпании.

FlyCASS в настоящее время отключена

После своего тревожного открытия Кэрролл и Карри сообщили об этом в Министерство внутренней безопасности США (DHS). Это произошло 24 апреля 2024 года, и через день Министерство подтвердило, что ищет решение. FlyCASS был отключен 5 июля 2024 г., то есть уязвимость сохранялась более двух месяцев после уведомления Министерства внутренней безопасности.