Non c'è quasi un giorno senza una nuova vulnerabilità. CVE-2019-9019 è una falla di sicurezza nel sistema British Airways intrattenimento che colpisce Boeing 777-36N (IS) e forse altri aerei, troppo. Il tipo di vulnerabilità è escalation di privilegi che si trova nel gestore USB componente.
CVE-2019-9019 Panoramica tecnica
Ecco CVE-2019-9019 descrizione ufficiale:
Il sistema di intrattenimento British Airways, come installato sul Boeing 777-36N(IS) ed eventualmente altri aeromobili, non impedisce la funzione USB dati / ricarica-transfer interagire con tastiera USB e periferiche di mouse, che permette fisicamente attaccanti in prossimità di condurre attacchi imprevisti contro applicazioni di intrattenimento, come dimostrato utilizzando il mouse azioni copia-e-incolla di innescare un buffer overflow Chat o eventualmente avere non specificato altro impatto.
Come già accennato il sistema di intrattenimento vulnerabili è installato sul Boeing 777-36N(IS) , ma altri modelli possono essere influenzati pure. Va notato che l'attacco è possibile a livello locale, senza forma di autenticazione richiesto per lo sfruttamento. Al momento, non ci sono né i dettagli tecnici né un exploit pubblicamente disponibile, ricercatori di sicurezza dire.
Il prezzo attuale per un exploit è di circa $ 5k- $ 25k (la stima calcolata sulla 02/23/2019). La vulnerabilità CVE-2019-9019 è descritto come avente un impatto storico grazie al suo background e la ricezione.
Poiché non ci sono contromisure conosciuto finora, una buona idea può essere quella di sostituire il sistema interessato con un prodotto alternativo.
Non ci sono informazioni sui possibili contromisure noti. Esso può essere suggerito di sostituire l'oggetto colpita con un prodotto alternativo.
E 'importante notare che i sistemi di intrattenimento sono componenti cruciali nel settore dell'aviazione, e potevano essere utilizzati come punti di ingresso per gli attaccanti in vari scenari. Non è la prima volta che vengono scoperti vulnerabilità che interessano aerei. Un paio d'anni fa, un ricercatore di sicurezza ha scoperto vulnerabilità nei Panasonic Avionics intrattenimento in volo, noto come sistemi IFE.
I sistemi IFE sono utilizzati da molte compagnie aeree tra cui United Airlines, American Airlines, Virgin Atlantic, e Air France. Le vulnerabilità possono consentire agli aggressori di controllare ciò che i passeggeri vedono e sentono sulla loro visualizzazione in volo.