No hay casi un día sin una nueva vulnerabilidad. CVE-2019-9019 es un fallo de seguridad en el sistema de entretenimiento British Airways que afecta Boeing 777-36N (ES) y tal vez otras aeronaves, demasiado. El tipo de vulnerabilidad es una escalada de privilegios que se encuentra en el controlador USB componente.
Descripción técnica general CVE-2019-9019
Aquí está la descripción oficial CVE-2.019-9019:
El sistema de entretenimiento de British Airways, como está instalado en Boeing 777-36N(ES) y posiblemente otras aeronaves, no impide que la característica de carga / de transferencia de datos USB de la interacción con el teclado USB y dispositivos de ratón, lo que permite a atacantes físicamente próximos a realizar ataques contra imprevistos aplicaciones de entretenimiento, como se ha demostrado mediante el uso de acciones de copiar y pegar del ratón para desencadenar un desbordamiento de búfer de Chat o posiblemente tener un impacto no especificado de otro.
Como ya se mencionó el sistema de entretenimiento vulnerables está instalado en Boeing 777-36N(ES) , pero otros modelos pueden ser afectados también. Cabe señalar que el ataque es posible a nivel local, sin ningún tipo de autenticación necesaria para la explotación. En el momento, no hay ni detalles técnicos, ni un explotan a disposición del público, los investigadores de seguridad decir.
El precio actual de un exploit es de alrededor de $ 5k- $ 25k (la estimación calculada sobre 02/23/2019). La vulnerabilidad CVE-2019-9019 se describe como teniendo un impacto histórico debido a su fondo y recepción.
Dado que no existen contramedidas conocidas hasta el momento, una buena idea puede ser la de sustituir el sistema afectado con un producto alternativo.
No hay información sobre posibles contramedidas conocidas. Se puede sugerir para reemplazar el objeto afectado con un producto alternativo.
Es importante señalar que los sistemas de entretenimiento son componentes cruciales en la aviación, y que podrían ser utilizados como puntos de entrada para los atacantes en varios escenarios. No es la primera vez que se descubren vulnerabilidades que afectan a las aeronaves. Un par de años atras, un investigador de seguridad descubierto vulnerabilidades en Panasonic Avionics entretenimiento en vuelo, conocidos como sistemas IFE.
Los sistemas IFE son utilizados por muchas aerolíneas, incluidas United Airlines, aerolíneas americanas, Virgin Atlantic, y Air France. Las vulnerabilidades podrían permitir a los atacantes controlar lo que ven y oyen los pasajeros en su pantalla durante el vuelo.