Vulnerabilidades en aplicaciones web en sistemas de control de trafico aereo

Una auditoría llevada a cabo en Estados Unidos ha detectado más de 760 vulnerabilidades de alto riesgo en aplicaciones Web utilizadas en las operaciones del ATC (Air Traffic Control), el sistema de control aéreo empleado en el país. Dichas brechas proporcionan a los atacantes un modo para acceder no sólo a los servidores Web sino a otros sistemas de back-end críticos, según el informe del Departamento de Transporte de Estados Unidos.

El estudio, llevado a cabo por la firma KPMG, se centra en los controles de seguridad de las aplicaciones web y en las capacidades de detección de intrusiones de los sistemas de control de tráfico aéreo. Se identificaron más de 3.859 vulnerabilidades en 70 aplicaciones web, la mitad de las cuales son de uso público, como las utilizadas para difundir información general a través de Internet o para dar las frecuencias de radio utilizadas por pilotos y controladores para comunicarse. Más de 760 vulnerabilidades se identificaron como de alto riesgo, ya que podrían dar acceso a datos y permitir a los hackers ejecutar de forma remota código malicioso o comandos en los sistemas críticos.

Unas 500 vulnerabilidades de las brechas detectadas se clasificaron como de riesgo medio y el resto, como bajo. Según la oficina del inspector general del Departamento de Tráfico de Estados Unidos, las vulnerabilidades de riesgo medio o bajo podrían permitir a los delincuentes recopilar, por ejemplo, datos de configuración de la redo el sistema que posteriormente podrían utilizarse para idear un ataque.

Durante el estudio, los ingenieros obtuvieron acceso sin autorización a varios sistemas de aplicaciones web. En uno de los casos, uno de ellos fue capaz de entrar en el código fuente del programa y otra información almacenada en el servidor de la aplicación web que gestiona el flujo de tráfico de los aviones. En otro momento, los fallos de seguridad de las aplicaciones web permitieron al personal de KPMG acceder a sistemas de monitorización de energía críticos de los centros ATC de Boston, Anchorage, Denver y otras tres ciudades. El acceso les permitió generar informes sobre las condiciones eléctricas que podrían haber sido empleados para planificar un asalto a estas instalaciones.

Los auditores de seguridad también encontraron que una gran parte de las instalaciones de la ATC tiene insuficientes controles para detectar y monitorizar intrusiones de seguridad. Tan sólo se encontraron las capacidades de detección adecuadas en once.

fuente: csospain.es

seguridad-informatica

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s