Una Falla en los sistemas de entretenimiento de British Airways afectará a otras aerolíneas

Un profesor de ciberseguridad ha insistido en que no estaba buscando una vulnerabilidad cuando encontró un error de denegación de servicio en una pantalla de entretenimiento durante un vuelo de larga distancia. Sus hallazgos podrían afectar a varios aviones que utilizan equipos fabricados por Thales. Pero Héctor Marco, profesor asociado de ciberseguridad en la Universidad del Oeste de Escocia, ha recibido una patada en los medios sociales de algunos miembros de la industria de la seguridad por su método de investigación.

Al comienzo de un vuelo comercial transatlántico que realizó en febrero, Marco pegó largas cadenas de texto en una aplicación de chat a bordo utilizando un ratón inalámbrico USB. “Aunque estaba muy cansado, y era un vuelo nocturno, no pude resistirme a hacer algunas comprobaciones de seguridad básicas en los sistemas de entretenimiento“, escribió originalmente en un post de LinkedIn explicando el sistema de entretenimiento a bordo (IFE), al que la MITRE Corporation asignó el CVE-2019-9109. Esa entrada del blog fue editada poco después de que The Register se pusiera en contacto con Marco.

En un correo electrónico a The Register (Marco se negó a discutir sus hallazgos por teléfono), el profesor de ciberseguridad insistió en que “no buscaba vulnerabilidades“, antes de insistir en que durante su vuelo “quería enviar un largo mensaje a otro asiento de chat” y decidió usar el ratón. “Después de copiar y pegar muchas veces, la aplicación de chat desapareció frente a mí.” Un vídeo de YouTube que Marco publicó y al que enlazó desde su post original de LinkedInUn vídeo de YouTube que Marco publicó y al que enlazó desde su post original de LinkedIn muestra a alguien que opera con el ratón en la pantalla del IFE, copiando y pegando repetidamente lo que parece ser una larga e ininterrumpida cadena de caracteres que incluye las letras “fdkfdkfdkfdkfdkfdkfhhhhhhhhh“.

La aplicación se congeló más tarde, pero no pareció afectar a ninguna otra pantalla a bordo del Boeing. “No sabía que la aplicación se iba a estrellar“, dijo cuando le preguntamos qué habría hecho si sus acciones hubieran estrellado todo el sistema IFE poco después de despegar en un vuelo de nueve horas, “así que no estaba probando ninguna vulnerabilidad porque no conocía la existencia de ninguna vulnerabilidad en ese momento“. Copiar y pegar largas cadenas de texto en un campo de entrada es una técnica de prueba de penetración muy conocida. Se asocia más comúnmente con la activación de desbordamientos de búfer en software que no implementa protecciones de memoria como la aleatorización de la distribución del espacio de direcciones (ASLR).

Hace unos años, Marco y un compañero de investigación descubrieron que era posible pasar por alto la autenticación de arranque en el gestor de arranque de Linux Grub2 pulsando 28 veces la tecla de retroceso. Marco pareció admitir que no estaba completamente seguro de lo que encontró a bordo de su vuelo transatlántico, diciéndonos: “Lo más probable en este caso es que se produzca un desbordamiento del búfer, pero no se puede descartar un agotamiento de la memoria o similar. Asignar’desconocido’ como tipo de vulnerabilidad[en el aviso CVE] nos obligará a pedir un cambio seguro. Usar el más probable puede dar un mejor contexto y evitar cambios futuros sobre el tipo de problema”.

El proveedor afectado no es British Airways

La entrada del US NIST para CVE-2019-9109 se refiere a la vulnerabilidad que afecta únicamente al “British Airways Entertainment System, instalado en el Boeing 777-36N(ER) y posiblemente en otros aviones”. El Registro puede revelar que el software afectado es fabricado y mantenido por el Grupo Thales bajo el nombre comercial de Thales TopSeries i5000. BA es cliente de Thales. Marco dijo a El Reg que “se puso en contacto de inmediato con las partes interesadas afectadas” una vez que encontró el virus.

Thales se negó a hacer comentarios. Boeing nos lo dijo: “Múltiples capas de protección, incluyendo características de software, hardware y arquitectura de red, están diseñadas para garantizar la seguridad de todos los sistemas de vuelo críticos. Las medidas de ciberseguridad de Boeing están sujetas a rigurosas pruebas, incluyendo el proceso de certificación de la FAA, y nuestros aviones cumplen o exceden todos los requisitos regulatorios aplicables”. La propia BA nos dijo que el vuln tal como se describe no dejaría que nadie pusiera sus guantes digitales en los sistemas de control de vuelo de la aeronave, añadiendo: “Ya somos conscientes de este problema y nuestras investigaciones no han identificado ningún riesgo para la seguridad de nuestras operaciones.

Los sistemas IFE a bordo de nuestras aeronaves están aislados de los sistemas operativos críticos. La seguridad de nuestros clientes es siempre nuestra prioridad”. Marco publicó un artículo en su blog que mostraba una foto del avión que utilizó como banco de pruebas para la caza de vulneración: un Boeing 777-300 de British Airways con G-STBD registrado, que, según el sitio de los observadores de aviones The BA Source, estaba operando el vuelo BA287 de San Francisco a Heathrow el viernes 8 de febrero de 2019. Esto encajaba con los detalles del vuelo a los que aludía Marco en el post original de LinkedIn, donde el 12 de febrero anunció que había tomado un vuelo de California a Londres el viernes anterior.

La fuente de BA considera al proveedor de equipos IFE de G-STBD como Thales. Una foto en Flickr del IFE instalado en un asiento económico (World Traveller, ya que BA marca sus asientos para ganado de largo recorrido) a bordo del G-STBD puede compararse con este vídeo de un Airbus A330 de Hong Kong Airlines, etiquetado con el sistema IFE Thales i5000, que muestra un teléfono y una pantalla casi idénticos a los del BA IFE. También parece idéntica a las fotos y al vídeo publicado por el propio Marco.

Los artículos tales como los puertos USB en los equipos IFE son normalmente especificados por las propias aerolíneas y varían en posición y ajuste, aunque el teléfono y la pantalla no difieren significativamente.

Vuln tiene un impacto mundial

La flota de Boeing 777-300 de BA cuenta con 12 aviones, todos ellos equipados con equipos IFE Thales i5000; la aerolínea vuela un total de 58 aviones 777-200 y 777-300. Un sitio web de viajeros frecuentes afirma que el equipo Thales i5000 está instalado a bordo de varios aviones de pasajeros de BA, incluidas sus flotas Airbus A321 y A380, así como algunos de los 777 y todos sus Boeing

787 Dreamliners

Algunas de las otras aerolíneas que utilizan el equipo IFE Thales TopSeries i5000 incluyen Oman Air, que vuela un total de 18 Boeing y Airbuses capaces de realizar vuelos de larga distancia. Hong Kong Airlines, que también utiliza el kit IFE Thales i5000, vuela 27 aviones Airbus A330 y A350.

Se desconoce si el vuln afecta a otros equipos IFE producidos bajo la marca TopSeries.

Cuando le preguntamos a Marco por sus ideas sobre el comentario en línea acerca de sus hallazgos y la forma en que los presentaba, dijo que la gente comentaba basándose en información incompleta “y parte de ella describe un escenario hipotético“. Esas ideas en voz alta tenían la intención de evitar que este tema pasara desapercibido, eso es todo, porque realmente creo que esto debe ser abordado y estamos apoyando a las partes interesadas en esto”.

El veterano de la industria de Infosec, Ken Munro, creía que Marco había sido un poco desconsiderado, diciendo: “La investigación es una parte valiosa del avance de la seguridad, pero existen límites importantes que separan a los investigadores de los hackers. Marco] conocía las consecuencias potenciales de sus acciones y también es de esperar que conozca la Ley de Uso Indebido de Computadoras del Reino Unido. Hay implicaciones potenciales de seguridad aquí, así que probar un IFE en un avión con pasajeros a bordo es imprudente”.

Leave a Reply

Your email address will not be published. Required fields are marked *