Le vulnerabilità, rilevate nei sistemi anticollisione in uso nei velivoli di aviazione civile, sono state scoperte mesi fa.
Ma l’annuncio è stato dato recentemente, in accordo alla politica standard di divulgazione della vulnerabilità che prevede una debita distanza di tempo fra il momento della scoperta e l’annuncio pubblico per permettere ai responsabili della tecnologia (in questo caso i principali produttori di aeromobili e le autorità aeronautiche interessate) di porre rimedio.
Entrambe le falle inficiano la sicurezza delle persone a bordo, perché incidono, rispettivamente, sulla qualità delle informazioni di ingresso al sistema per le collisioni che diventano così non più attendibili.
Oppure, nel secondo caso, possono portare alla negazione del servizio di prevenzione delle collisioni, a causa della disabilitazione completa del meccanismo di prevenzione.
Indice degli argomenti
La scoperta in ambiente di laboratorio
Il rilevamento è stato effettuato utilizzando i risultati sviluppati nel progetto ARTIC (Affordable, Reusable and Truly Interoperable Cyber ranges), un ambiente simulativo che ha permesso la creazione di una replica virtuale del sistema cyber-fisico complesso di nome Traffic Alert and Collision Avoidance System (TCAS) II, il sistema anticollisione. In particolare, le versioni interessate dalle falle sono le versioni 7.1 e precedenti.
Il sistema TCAS monitora costantemente lo spazio aereo circostante il velivolo attraverso comunicazioni radio. È progettato per rilevare altri velivoli e coordinarsi con essi, emettendo, in caso di pericolo, ordini obbligatori per eseguire manovre evasive coordinate, in alcuni casi in modo automatico. Attualmente è obbligatorio su tutti gli aerei di linea.
Il team che ha scoperto le falle
La coppia di vulnerabilità è stata scoperta dal gruppo di ricerca formato da Giacomo Longo ed Enrico Russo (coordinatore ARTIC), ricercatori del Dipartimento di informatica, bioingegneria, robotica e ingegneria dei sistemi (DIBRIS) dell’Università di Genova, insieme ad Alessio Merlo, già professore all’Università di Genova e ora direttore della Scuola Superiore Universitaria del Centro Alti Studi per la Difesa (CASD) di Roma, con la collaborazione del Cyber Defence Campus di Thun (Svizzera) nelle persone di Martin Strohmeier, Senior Scientist e di Vincent Lender head del Cyber Defence Campus.
Il Progetto ARTIC
Il progetto di ricerca ARTIC è ricompreso nell’ambito dello Spoke 4 del partenariato esteso SERICS (Security and Rights in Cyber Space), finanziato dall’Unione europea nell’ambito del PNRR.
Lo Spoke 4 riguarda la sicurezza dei Sistemi Operativi (SO) e della virtualizzazione. In particolare, in questo spoke si punta a “sviluppare servizi di sicurezza automatici di alto livello ed anche metodologie innovative di valutazione e garanzia della sicurezza per supportare lo sviluppo secure-by-design e la verifica di applicazioni cloud, edge e 5G”.
L’efficacia è valutata mediante stress-test all’interno di scenari di attacco realistici ma di fatto simulati, che mantengono le caratteristiche di sicurezza perché svolti all’interno di una piattaforma di cyber ranges federati.
“Per quanto concerne il ruolo di test range come ARTIC nello scoprire questo genere di vulnerabilità”, chiarisce il professor Alessio Merlo, “bisogna considerare la natura complessa dei sistemi aeronautici coinvolti. Questi dispositivi non sono isolati, ma richiedono per funzionare correttamente un intero ecosistema di sensori, connessioni e infrastrutture di supporto. Ispezionare internamente questi apparati per comprendere appieno il loro funzionamento e le potenziali falle è intrinsecamente difficile, data la loro complessità e la mancanza di metodi semplici per ispezionare lo stato interno dei dispositivi”.
“Nello scenario specifico”, continua il professor Merlo, “la vulnerabilità implica la necessità di effettuare una trasmissione via radio senza interagire in alcun modo con altri velivoli nelle vicinanze, il che aggiunge un notevole grado di difficoltà nella sua integrazione all’interno di un cyber range, che deve replicare fedelmente non solo il dispositivo target ma anche parte del suo complesso ambiente operativo e le sue specifiche modalità di comunicazione”.
Le vulnerabilità nei sistemi anticollisione dell’aviazione
Le due vulnerabilità riportate nell’annuncio del 25 gennaio dell’Agenzia per la Cyber difesa americana (CISA) sono state classificate secondo il sistema standard di numerazione delle debolezze (Common Weak Enumeration) e secondo la numerazione del dizionario di vulnerabilità e falle di sicurezza note pubblicamente, (Common Vulnerabilities and Exposures – CVE), entrambe mantenute dal MITRE (organizzazione no profit).
È utile precisare che non tutte le debolezze hardware e software diventano vulnerabilità effettive. Lo diventano solo se qualcuno ne prova lo sfruttamento effettivo mediante procedura ripetibile.
In particolare, la prima debolezza, indicata come CWE807 rientra nella categoria “Affidamento a input non attendibili in una decisione sulla sicurezza” ed ha avuto assegnato il numero CVE-2024-9310 con punteggio base CVSS v3.1 pari a 6,1 di gravità delle vulnerabilità e un ulteriore punteggio CVSS v4 pari a 6,0 di gravità.
La seconda debolezza, indicata come CWE-15 rientra nella categoria “Controllo esterno del sistema o impostazione della configurazione” ed è stato assegnato il numero CVE-2024-11166 con valorizzazione di gravità CVSS v3.1 pari a 8,2 ed un ulteriore punteggio CVSS v4 pari a 7,1.
Le due falle nei dettagli
La prima vulnerabilità consente di creare la falsa informazione di aeromobili inesistenti in rotta di collisione in prossimità dell’aereo, inducendo, di conseguenza, manovre evasive non necessarie.
La seconda vulnerabilità può addirittura eliminare il sistema anticollisione, mediante disabilitazione.
Il professor Alessio Merlo chiarisce il delicato tema della fattibilità di questi attacchi perché, spiega, “la riuscita dell’attacco richiede non soltanto un livello di competenza tecnica molto elevato, difficilmente alla portata di molti, ma anche l’impiego di apparecchiature specifiche il cui costo si aggira nell’ordine delle decine di migliaia di euro, un investimento non comune. Oltre a ciò, l’attacco va fatto da una posizione fisica adeguatamente schermata (per non essere scoperti) e preferibilmente in vista della vittima, requisiti che ne limitano la fattibilità”.
Quindi, in sintesi, le vulnerabilità esistono in linea teorica e pratica ma la realizzazione materiale dell’attacco durante un volo di linea non è così scontata.
Discorso diverso è se l’attaccante è accanto alla pista. Infatti, in questo caso il professore specifica come si passa dallo status di debolezza a vulnerabilità: “il TCAS è un protocollo non protetto. Quindi fino ad un momento prima dei nostri test, era un protocollo debole, perché non si aveva un hardware ragionevole e tecniche ragionevoli per simulare un velivolo con un timing di scambio messaggi credibile. Da quando è stato provato in ambiente di laboratorio l’attacco e lo sfruttamento della debolezza è diventata vulnerabilità effettiva, e l’attacco è credibili con soli 20k di hardware scarso. Lo scenario potenziale e plausibile non è tanto in fase di volo, quanto maggiormente durante atterraggio e decollo posizionandosi accanto alla pista. Questo scenario può creare difficoltà”.
Mitigazione
L’avviso CISA segnala che la CVE-2024-11166 può essere completamente mitigato eseguendo l’aggiornamento ad ACAS X o aggiornando il transponder associato per conformarsi a RTCA DO-181F (un adeguamento nelle procedure seguite dai piloti), mentre per la CVE-2024-9310 non è disponibile alcuna mitigazione.
Sui motivi della permanenza di tale vulnerabilità il professor Merlo chiarisce che “nonostante i primi test in laboratorio siano stati condotti a fine 2023, son necessari tempi tecnici di aggiornamento dello standard (e aggiornamento sui sistemi legacy eventualmente n.d.r.) che riguarda il TCAS stesso (ovvero il protocollo di scambio messaggi fra velivoli) affinché siano risolti i problemi di vulnerabilità, unitamente alle performance real-time che un simile protocollo deve assolvere durante l’interazione fra velivoli”.
La CISA chiarisce che “queste vulnerabilità non sono sfruttabili da remoto” e che “hanno un’elevata complessità di attacco”.
Ma, naturalmente, sebbene “al momento, non è stato segnalato alla CISA alcuno sfruttamento pubblico noto specificamente mirato a queste vulnerabilità” tutte le parti interessante che osservano attività sospette sono invitate a segnalare alla CISA correlazioni con incidenti noti.
L’importanza della ricerca applicata
I risultati della ricerca sono stati presentati anche al Def Con 2024 di Las Vegas e alla conferenza scientifica internazionale Usenix Security a Philadelphia ad agosto 2024.
Il professor Alessandro Armando, presidente del Comitato scientifico di SERICS, docente UniGe di Sistemi di elaborazione delle informazioni e coordinatore scientifico dello Spoke 4, ha chiarito come la “scoperta confermi l’eccellenza della ricerca condotta nel nostro Paese e il contributo che la collaborazione scientifica internazionale può dare nell’identificazione e mitigazione di vulnerabilità nei sistemi critici, migliorando la sicurezza delle infrastrutture aeronautiche e conseguentemente quella di milioni di passeggeri in tutto il mondo”.
I ricercatori coinvolti sottolineano in aggiunta, la necessità di approfondire il problema e le possibili ulteriori contromisure auspicando l’avvio di tavoli tecnici e future attività di ricerca con i principali stakeholder del mondo industriale, accademico e dell’aviazione.
