- Sam Curry और मैंने airport security की कतारों में बहुत समय बिताया है
- Known Crewmember (KCM) एक TSA प्रोग्राम है, जो pilots और cabin crew को security screening bypass करने की अनुमति देता है
- KCM process सरल है; कर्मचारी dedicated lane का उपयोग करते हैं और KCM barcode या employee number दिखाते हैं
- Cockpit Access Security System (CASS) भी इसी तरह की एक system है, जो pilots को jumpseat इस्तेमाल करने देती है
ARINC
- ARINC, TSA के साथ contract करके KCM system चलाता है
- ARINC एक website और API चलाता है, जहाँ pilots और cabin crew अपनी KCM status की जाँच कर सकते हैं
- हर airline अपना authentication system चलाती है और ARINC के "hub" के साथ interact करती है
- TSA और airlines,
CockpitAccessRequest और CrewVerificationRequest ARINC को भेजते हैं, और ARINC इन्हें सही airline system तक route करता है
FlyCASS.com
- FlyCASS छोटे airlines के लिए web-based interface देता है
- SQL injection testing के दौरान FlyCASS में security vulnerability मिली
- SQL injection के ज़रिए Air Transport International के admin account में login करना संभव था
KCM और CASS admin
- FlyCASS, KCM और CASS चलाता है, और admin privileges से नए employees जोड़े जा सकते हैं
- testing के दौरान नया employee
Test TestOnly जोड़ा गया और उसे KCM और CASS access दिया गया
- इससे यह गंभीर समस्या सामने आई कि कोई भी SQL injection के ज़रिए KCM और CASS तक पहुँच सकता था
Disclosure
- इस issue को disclose करने के लिए सही contact ढूँढने में कठिनाई हुई
- 23 अप्रैल को Department of Homeland Security को issue disclose किया गया, और FlyCASS को KCM/CASS से disable कर दिया गया
- TSA ने एक statement जारी कर vulnerability से इनकार किया
- TSA ने website से employee ID manual entry section हटा दिया
Timeline
- 04/23/2024: ARINC और FAA को initial disclosure
- 04/24/2024: DHS को follow-up disclosure
- 04/25/2024: DHS CISO ने पुष्टि की कि remediation work चल रहा है
- 05/07/2024: पुष्टि हुई कि FlyCASS को KCM/CASS से अलग कर दिया गया है
- 05/17/2024: TSA statement पर follow-up (कोई response नहीं)
- 06/04/2024: TSA statement पर follow-up (कोई response नहीं)
Collaborators
GN⁺ का सार
- यह लेख airport security system में एक गंभीर vulnerability पर केंद्रित है
- KCM और CASS systems की security flaws के कारण कोई भी security screening bypass करके cockpit access पा सकता था
- SQL injection के ज़रिए admin privileges हासिल किए जा सकते थे, जो एक गंभीर security threat है
- यह लेख विस्तार से बताता है कि security researchers ने issue कैसे खोजा और disclose किया
- समान functionality वाले systems में TSA PreCheck और Global Entry शामिल हैं
1 टिप्पणियां
Hacker News की राय
TSA सिस्टम बुनियादी web programming errors के प्रति असुरक्षित है
TSA की प्रतिक्रिया बचकानी और शर्मनाक है
SQL injection से आगे बढ़कर कर्मचारियों के fake records बनाए गए, यह चौंकाने वाला है
थोड़ा-सा motivation रखने वाला कोई भी व्यक्ति 911 जैसी घटना को दोहराने में ज़्यादा कठिनाई नहीं पाएगा
संभव है कि FlyCASS डेवलपर को पता था कि समस्या तुरंत ठीक कर दी जाएगी, इसलिए वह बड़ा प्रभाव चाहता था
passwords को MD5 में store करने पर कोई बात नहीं कर रहा, यही दिखाता है कि स्थिति कितनी गंभीर है
समस्या की गंभीरता से इनकार किया जाना चौंकाने वाला नहीं है, लेकिन FBI को न बताना या गिरफ़्तारी न करना ज़रूर चौंकाने वाला है
अरबों डॉलर की सुरक्षा व्यवस्था को एक साधारण SQL injection ने निष्प्रभावी कर दिया
TSA की प्रतिक्रिया बेहद स्तब्ध करने वाली है
सरकार को बेहतर प्रतिभा भर्ती करने के लिए वेतन बढ़ाने का सुझाव देना चाहूँगा, लेकिन समस्या इतनी systemic लगती है कि शायद इसका भी असर न हो