200 аэропортов и один пароль. Cлучайная утечка едва не парализовала мировую авиацию
NewsMakerАвиационные регуляторы начали проверку ИТ-подрядчиков после инцидента.
Одна утекшая учетная запись едва не открыла злоумышленникам доступ к внутренним системам почти двухсот аэропортов по всему миру. Речь идет не о взломе в привычном смысле, а о куда более тревожной истории с цепочкой подрядчиков и отсутствием базовой защиты входа. Проблему обнаружила компания SVigil во время мониторинга подпольных форумов .
Современные аэропорты работают на общих цифровых платформах, которые управляют регистрацией пассажиров, багажными системами, терминалами самообслуживания и служебными устройствами. Такие решения поставляют специализированные ИТ-компании. Чтобы все работало без задержек, подрядчикам и сервисным фирмам часто дают прямой доступ к служебным панелям. В итоге возникает распределенная модель доверия, где надежность всей системы зависит от самого слабого звена.
Именно таким звеном оказалась сервисная компания четвертого уровня. Это подрядчик подрядчика основного ИТ-поставщика аэропорта. В сеть утекли логин и пароль одного из системных инженеров этой фирмы. Данные появились на закрытом форуме. Этого оказалось достаточно, чтобы войти в главный служебный портал операционной поддержки, который использовался более чем в 200 аэропортах. Дополнительного подтверждения входа не было. Двухфакторная аутентификация оказалась не включена.
Доступ открывал не один сервер, а фактически живую карту всей инфраструктуры. Через панель можно было видеть перечень серверов и сетевого оборудования с внутренними адресами и ролями, состояние киосков регистрации, принтеров посадочных талонов и багажных бирок в реальном времени, а также загрузку процессоров, памяти и дисков на ключевых узлах. Отображались даже параметры работы баз данных, которые обслуживают пассажирские сервисы. Более того, из интерфейса можно было запускать сетевые диагностические команды внутри доверенной сети аэропорта, что удобно для внутренней атаки на отказ в обслуживании.
Одна утекшая учетная запись едва не открыла злоумышленникам доступ к внутренним системам почти двухсот аэропортов по всему миру. Речь идет не о взломе в привычном смысле, а о куда более тревожной истории с цепочкой подрядчиков и отсутствием базовой защиты входа. Проблему обнаружила компания SVigil во время мониторинга подпольных форумов .
Современные аэропорты работают на общих цифровых платформах, которые управляют регистрацией пассажиров, багажными системами, терминалами самообслуживания и служебными устройствами. Такие решения поставляют специализированные ИТ-компании. Чтобы все работало без задержек, подрядчикам и сервисным фирмам часто дают прямой доступ к служебным панелям. В итоге возникает распределенная модель доверия, где надежность всей системы зависит от самого слабого звена.
Именно таким звеном оказалась сервисная компания четвертого уровня. Это подрядчик подрядчика основного ИТ-поставщика аэропорта. В сеть утекли логин и пароль одного из системных инженеров этой фирмы. Данные появились на закрытом форуме. Этого оказалось достаточно, чтобы войти в главный служебный портал операционной поддержки, который использовался более чем в 200 аэропортах. Дополнительного подтверждения входа не было. Двухфакторная аутентификация оказалась не включена.
Доступ открывал не один сервер, а фактически живую карту всей инфраструктуры. Через панель можно было видеть перечень серверов и сетевого оборудования с внутренними адресами и ролями, состояние киосков регистрации, принтеров посадочных талонов и багажных бирок в реальном времени, а также загрузку процессоров, памяти и дисков на ключевых узлах. Отображались даже параметры работы баз данных, которые обслуживают пассажирские сервисы. Более того, из интерфейса можно было запускать сетевые диагностические команды внутри доверенной сети аэропорта, что удобно для внутренней атаки на отказ в обслуживании.