Collins Aerospace: Mangelhafte Passwörter ermöglichten Nachrichten an Cockpits

Bei Collins Aerospace ist ein weiteres schwerwiegendes IT-Sicherheitsproblem aufgetreten. Ende September kam es bei dem Dienstleister für diverse Flughäfen weltweit zu einem Datenabzug, bei dem das Unternehmen von Ransomware sprach, die Boarding- und Check-in-Systeme offline nahm und in der Folge der Flugbetrieb an den Flughäfen Berlin oder Brüssel beeinträchtigt wurde. Nun hat der Chaos Computer Club (CCC) herausgefunden, dass auch weitere Systeme schlecht gesichert waren und es etwa möglich war, Nachrichten in Flugzeug-Cockpits zu senden.

Das kürzliche Datenleck ging auf Zugangsdaten aus dem Jahr 2022 zurück, die seitdem nicht geändert wurden und aufgrund eines Infostealers ins Internet gelangten. Etwas mehr Kopfschütteln verursacht der nun vom CCC gefundene, mit trivialen Zugangsdaten „geschützte“ Zugang. Collins Aerospace betreibt das ARINC Opcenter, mit dem Nachrichten von und zu Flugzeugen verteilt und aufbereitet werden, etwa von Betriebsdaten. Dazu gehören auch ACARS-Nachrichten (Aircraft Communications Addressing and Reporting System), die technische Zustandsdaten, Flugpläne oder auch Verspätungen umfassen.

Triviale Zugangsdaten zum Nachrichten-Service

Der CCC konnte sich mit Benutzername „test“ – und IT-Experten vermuten es bestimmt schon – Passwort „test“ in das ARINC OpCenter einloggen und dort in den Message Browser gelangen. Ein Eintrag in der Wayback-Machine (PDF) zeigt die Benutzeroberfläche und die Abfrage von Nachrichten zu einem bestimmten Flugzeug. Der Zugang wies die IT-Forscher als „US Navy Fleet Logistics Support Wing“ aus.

Mit dem Zugang ließen sich versendete Nachrichten einsehen. Das Portal ermöglicht auch das Senden von Nachrichten ins Flugzeug-Cockpit – was der CCC jedoch ausdrücklich nicht ausprobiert hat.

Die CCC-Analysten haben sowohl die Muttergesellschaft RTX Corporation von Collins Aerospace, als auch das Department of Defense Cyber Crime Center der USA kontaktiert und über die Schwachstelle informiert. Rückmeldungen gab es keine. Jedoch wurde der Zugang inzwischen deaktiviert.

Die mangelnde Passwort-Hygiene und Zugangssicherung bei Collins Aerospace scheint ein weiterreichendes Problem zu sein, als der Cyberangriff im September vermuten ließ. Das ist umso schwerwiegender, da die Firma ein System betreibt, das global so weit eingesetzt wird und bis in die Flugzeug-Cockpits reicht, wie ARINC.

(dmk)