Resumen Ejecutivo
Contexto General
El informe se centra en las vulnerabilidades identificadas en el Sistema de Alerta de Tráfico y Prevención de Colisiones (TCAS) II, una tecnología crítica utilizada en aeronáutica para evitar colisiones. Se destaca que las versiones 7.1 y anteriores de TCAS II son susceptibles a ataques. La calificación de gravedad de estas vulnerabilidades a través del sistema de puntuación CVSS es de 7.1, indicando que son explotables desde la red adyacente.
Evaluación de Riesgos
Las vulnerabilidades permitidas podrían ser explotadas por un atacante, permitiéndole manipular sistemas de seguridad e incluso provocar condiciones que lleven a una denegación de servicio en operaciones aéreas.
Detalles Técnicos
Productos Afectados
Las versiones afectadas del TCAS II incluyen la 7.1 y aquellas anteriores, que están en uso a nivel global en industria aérea.
Vulnerabilidades Específicas
-
Dependencia de entradas no confiables (CWE-807):
- Al utilizar radios definidas por software, puede permitirse la transmisión de señales de RF con datos de ubicación falsificados. Esto puede llevar a la aparición de aeronaves ficticias en las pantallas de los pilotos y posiblemente generar avisos de resolución incorrectos.
- Esta vulnerabilidad recibió la designación CWE-2024-9310, y se le asignó un CVSS v3.1 de 6.1 y un 6.0 en CVSS v4.
- Control Externo de Sistema (CWE-15):
- Para sistemas TCAS II que son compatibles con transpondedores de estándares anteriores al RTCA DO-181F, un atacante podría suplantar una estación terrestre, lo que podría permitirle modificar la configuración de sensibilidad del sistema a un nivel bajo, inhibiendo así los avisos de resolución cruciales y provocando potenciales accidentes.
- Esta vulnerabilidad se ha clasificado como CVE-2024-11166, con una puntuación de 8.2 en CVSS v3.1 y de 7.1 en CVSS v4.
Antecedentes
Las vulnerabilidades ocurren dentro del marco de sistemas de infraestructura crítica, específicamente en el sector del transporte aéreo, y fueron identificadas igualmente en diversas regiones a nivel mundial, con un enfoque particular en Estados Unidos.
Investigación
Los investigadores responsables de reportar estas vulnerabilidades a la CISA (Cybersecurity and Infrastructure Security Agency) incluyen a académicos de la Universidad de Génova y expertos de armasuisse, mostrando un esfuerzo colaborativo en la identificación de estos riesgos críticos.
Mitigaciones
Tras consultas con la FAA y otros expertos, se determina que la vulnerabilidad CVE-2024-11166 podría resolverse completamente mediante la actualización a ACAS X o mediante la adecuación del transpondedor a los estándares actuales (RTCA DO-181F). Por otro lado, no existen soluciones para mitigar CWE-2024-9310 en este momento. Aunque las vulnerabilidades son teóricamente explotables en un entorno controlado, se considera que su explotación en situaciones reales es poco probable debido a la alta complejidad del ataque. Las organizaciones deben seguir sus protocolos internos para reportar cualquier actividad maliciosa sospechosa a la CISA para su análisis.
Actualización Historial
La información se ha documentado en un informe inicial emitido el 21 de enero de 2024, que proporciona un panorama sobre estas amenazas para el sector de la aviación y la seguridad aérea.