Исследователи взломали бортовую развлекательную систему «Боинга-747»

Специалистам компании Pen Test Partners удалось установить в бортовой развлекательной системе пассажирского самолета «Боинг-747» web-оболочку для постоянного доступа к ней благодаря уязвимости, присутствующий в системе с 1999 года.

Данная атака представляет собой, скорее, большой интерес, чем реальную угрозу – ее слишком сложно осуществить во время реального полета, да и «Боинг-747» в наши дни встречается редко.

«Это оказалось более сложной задачей, чем мы ожидали, в основном потому, что бортовой развлекательной системе уже 25 лет, и в ней отсутствуют многие функции, считающиеся само собой разумеющимися в более поздних системах, но нам это удалось», – сообщили исследователи.

Система оказалась настолько устаревшей, что ее сервер управления работал на базе ОС Windows NT4 SP3, являющейся давним «предком» современных Windows Server. Из-за возраста системы исследователи даже не могли воспользоваться современными инструментами для проведения тестирования на проникновение – NT4 существовала еще до появления всех актуальных на сегодняшний день поверхностей атак, таких как Remote Desktop Protocol.

Проще говоря, современные инструменты и техники для взлома бортовой развлекательной системы «Боинг-747» не подходят. Metasploit почти потерпел неудачу, и даже Backtrack, предшественник Kali Linux, не сработал, что завело исследователей в тупик.

«Здесь мы и вникаем в тонкости NT4. Обычно полезная нагрузка выполняется с использованием внутренней функции Windows, называемой cscript. Cscript используется почти во всех версиях Windows в качестве инструмента для запуска скриптов, с помощью которого могут быть созданы и запущены любые скрипты наподобие Visual Basic, C# и пр. Однако в NT4 cscript отсутствует, поскольку операционная система старше этого инструмента, поэтому запуск любых скриптов, по-видимому, был невозможен», – пояснили исследователи.

Альтернативные скриптинговые инструменты также отсутствовали в NT4 бортовой развлекательной системы, поэтому удаленное выполнения кода было невозможно. Более того, система представляла собой автономную рабочую станцию, а не домен, поэтому перехват хэша по сети также был невозможен.

Другая проблема заключалась в том, что тестирование сети в реальном времени и на месте потребовало включения самолета. Выполнение этого с помощью вспомогательной силовой установки (ВСУ) означало заправку маленькой реактивной турбины в хвостовой части авиалайнера, а типичная ВСУ «Боинга-747» сжигает 300-400 кг топлива Jet A1 в час (эквивалент $250 долларам в час).

Версия NT4, на базе которой работала изучаемая исследователями развлекательная система самолета, использовала версию сервиса Internet Information Services v4.0, в которой уязвимости обнаруживались еще в 2000 году. С помощью небольшой хитрости с кодировкой символов исследователям удалось выполнить обход каталога при установке системы. Современные операционные системы, как правило, используют стандарт UTF-8, кодирующий символы одним байтом, а не двумя, как UTF-16, поэтому перед развертыванием исследователям пришлось перекодировать команды.

«В ходе каждой атаки с обходом каталогов атакуемая программа должна быть на том же диске, что и web-сервер. В нашем случае нам нужно было, чтобы папка system32 находилась на том же диске, что и бортовая развлекательная система», – пояснили исследователи.

Вторая проэксплуатированная экспертами уязвимость позволила им получить постоянный доступ к системе через web-оболочку. Это уязвимость удаленного выполнения кода 20-летней давности – CVE-1999-1011.

В конце концов исследователи проникли в систему, используя модуль TFTP-сервера Metasploit для получения доступа к командной строке, а оттуда получили хэш пароля администратора и взломали его.