Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Onderzoekers vinden sql-lek in beveiligingssysteem voor cockpit

03 september 2024 - 15:58ActueelSecurity & Awareness
William Visterin
William Visterin

Beveiligingsonderzoekers melden een ernstige kwetsbaarheid in een belangrijk beveiligingssysteem voor de luchtvaart. Hierdoor konden onbevoegde personen mogelijk luchthavencontroles omzeilen en zelfs toegang krijgen tot cockpitstoelen in vliegtuigen.

Twee onafhankelijke onderzoekers, Ian Carroll en Sam Curry, vonden de kwetsbaarheid in FlyCASS, een webgebaseerde dienst die sommige luchtvaartmaatschappijen gebruiken om het zogenaamde Known Crewmember-programma (KCM) en het Cockpit Access Security System (CASS) te beheren. KCM, een initiatief van de Transportation Security Administration (TSA), stelt piloten en cabinepersoneel in staat om de gebruikelijke veiligheidscontroles over te slaan. CASS geeft bevoegde piloten toegang tot cockpitstoelen tijdens het reizen.

FlyCASS, beheerd door ARINC, een dochteronderneming van Collins Aerospace, controleert de gegevens van luchtvaartmedewerkers via een online platform. De onderzoekers ontdekten echter dat het inlogsysteem van FlyCASS kwetsbaar was voor een sql-injectie, een techniek waarbij kwaadwilligen schadelijke sql-opdrachten kunnen invoeren om databasequery’s te manipuleren.

Inloggen

Door deze kwetsbaarheid konden de onderzoekers inloggen als beheerder voor een luchtvaartmaatschappij, Air Transport International. Ze voegden een fictieve medewerker, onder de naam ‘Test TestOnly’, toe en gaven dit account toegang tot zowel KCM als CASS. Dit stelde hen in staat om de veiligheidscontroles te omzeilen en toegang te krijgen tot de cockpits van commerciële vliegtuigen.

Met basiskennis van sql-injectie kon iedereen inloggen op deze site en personen toevoegen aan KCM en CASS, waardoor ze zowel de veiligheidscontroles konden overslaan als toegang kregen tot cockpits, de onderzoekers.

Na de ernst van de situatie te hebben ingezien, namen de twee in april contact op met het Department of Homeland Security. FlyCASS werd een maand later losgekoppeld van het KCM/CASS-systeem als voorzorgsmaatregel. De kwetsbaarheid werd kort daarna opgelost.

‘Toegang onmogelijk’

De TSA ontkende evenwel de impact van de kwetsbaarheid en stelde dat hun procedures ervoor zouden zorgen dat onbevoegde toegang onmogelijk was. Al merkten de onderzoekers op dat de TSA in alle stilte informatie van hun website verwijderde. Informatie die overigens in tegenspraak was met deze verklaringen.

Is hiermee de kous af? Toch niet helemaal. Zo wees onderzoek later uit dat FlyCASS in februari 2024 al slachtoffer was van een MedusaLocker-ransomware-aanval. Dit benadrukt, volgens de onderzoekers, de kwetsbaarheid van dergelijke systemen en de noodzaak van voortdurende beveiligingsmaatregelen.

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Meer lezen

    Computable.nl
    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    ActueelSecurity & Awareness

    Vaarwel C++ en C: VS zetten in op memory safe-programmeertalen

    ActueelSecurity & Awareness

    Cybersec Netherlands trekt op met Data Expo

    Cloudsecurity
    ActueelSecurity & Awareness

    De zware uitdaging van cloudbeveiliging

    ActueelSecurity & Awareness

    Kort: PQR lijft E-Storage in, Fox-IT en Xerox it-partners van de Navo-top (en meer)

    Eén reactie op “Onderzoekers vinden sql-lek in beveiligingssysteem voor cockpit”

    1. Een oudlid schreef:
      4 september 2024 om 09:56

      De vlag dekt niet de lading want FlyCASS lijkt ontworpen te zijn om oponthoud bij de vele binnenlandse vluchten te voorkomen en dient vooral low-budget carriers. Er zitten GEEN gaten in vliegtuigen want beveiligingsonderzoekers zijn alleen maar tegen een ‘bug’ aangelopen waarbij de inlogprocedure van een gebruikersnaam en een wachtwoord omzeild kan worden met SQL-injectie. Da’s een zwakheid maar nog geen probleem als – zoals TSA beweert – er nog aanvullende controles zijn. En volgens het originele bericht bij The Register blijken deze er te zijn waardoor de kop met disclaimer komt dat onderzoekers iets claimen:

      “Met basiskennis van sql-injectie kon iedereen inloggen op deze site en personen toevoegen aan KCM en CASS, waardoor ze zowel de veiligheidscontroles konden overslaan als toegang kregen tot cockpits, de onderzoekers.”

      Mis niet alleen in de kop een disclaimer want de redactie probeert een storm in een glas water te maken met een incomplete vertaling van een artikel aangezien het toevoegen van een naam aan een database alleen maar iets zegt over toegangscontrole daarvan. Deze was te omzeilen via SQL-injectie waardoor er mogelijk toegang was tot informatie die niet voor iedereen toegankelijk zou moeten zijn. Ik kan me voorstellen dat er vanuit dat oogpunt terughoudendheid is in het geven van informatie.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Computable Insights

    Een ai-agent die klantvragen afhandelt. Dat is een van de nieuwste troeven van softwareproducent Salesforce, dat daarmee meesurft op de...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs