Исследователи взломали бортовую развлекательную систему «Боинга-747»
Специалистам компании Pen Test Partners удалось установить в бортовой развлекательной системе пассажирского самолета "Боинг-747" web-оболочку для постоянного доступа к ней благодаря уязвимости, присутствующий в системе с 1999 года.
Данная атака представляет собой, скорее, большой интерес, чем реальную угрозу - ее слишком сложно осуществить во время реального полета, да и "Боинг-747" в наши дни встречается редко.
"Это оказалось более сложной задачей, чем мы ожидали, в основном потому, что бортовой развлекательной системе уже 25 лет, и в ней отсутствуют многие функции, считающиеся само собой разумеющимися в более поздних системах, но нам это удалось", - сообщили исследователи.
Система оказалась настолько устаревшей, что ее сервер управления работал на базе ОС Windows NT4 SP3, являющейся давним "предком" современных Windows Server. Из-за возраста системы исследователи даже не могли воспользоваться современными инструментами для проведения тестирования на проникновение - NT4 существовала еще до появления всех актуальных на сегодняшний день поверхностей атак, таких как Remote Desktop Protocol.
Проще говоря, современные инструменты и техники для взлома бортовой развлекательной системы "Боинг-747" не подходят. Metasploit почти потерпел неудачу, и даже Backtrack, предшественник Kali Linux, не сработал, что завело исследователей в тупик.
"Здесь мы и вникаем в тонкости NT4. Обычно полезная нагрузка выполняется с использованием внутренней функции Windows, называемой cscript. Cscript используется почти во всех версиях Windows в качестве инструмента для запуска скриптов, с помощью которого могут быть созданы и запущены любые скрипты наподобие Visual Basic, C и пр. Однако в NT4 cscript отсутствует, поскольку операционная система старше этого инструмента, поэтому запуск любых скриптов, по-видимому, был невозможен", - пояснили исследователи.
Альтернативные скриптинговые инструменты также отсутствовали в NT4 бортовой развлекательной системы, поэтому удаленное выполнения кода было невозможно. Более того, система представляла собой автономную рабочую станцию, а не домен, поэтому перехват хэша по сети также был невозможен.
Другая проблема заключалась в том, что тестирование сети в реальном времени и на месте потребовало включения самолета. Выполнение этого с помощью вспомогательной силовой установки (ВСУ) означало заправку маленькой реактивной турбины в хвостовой части авиалайнера, а типичная ВСУ "Боинга-747" сжигает 300-400 кг топлива Jet A1 в час (эквивалент $250 долларам в час).
Версия NT4, на базе которой работала изучаемая исследователями развлекательная система самолета, использовала версию сервиса Internet Information Services v4.0, в которой уязвимости обнаруживались еще в 2000 году. С помощью небольшой хитрости с кодировкой символов исследователям удалось выполнить обход каталога при установке системы. Современные операционные системы, как правило, используют стандарт UTF-8, кодирующий символы одним байтом, а не двумя, как UTF-16, поэтому перед развертыванием исследователям пришлось перекодировать команды.
"В ходе каждой атаки с обходом каталогов атакуемая программа должна быть на том же диске, что и web-сервер. В нашем случае нам нужно было, чтобы папка system32 находилась на том же диске, что и бортовая развлекательная система", - пояснили исследователи.
Вторая проэксплуатированная экспертами уязвимость позволила им получить постоянный доступ к системе через web-оболочку. Это уязвимость удаленного выполнения кода 20-летней давности - CVE-1999-1011.
В конце концов исследователи проникли в систему, используя модуль TFTP-сервера Metasploit для получения доступа к командной строке, а оттуда получили хэш пароля администратора и взломали его.
