最近,全球船只上安裝的衛星通信系統SATCOM被曝受到兩大高危漏洞影響:
具有全系統訪問權限的隱藏后門賬戶;
登錄表單存在SQL注入漏洞。
網絡安全與滲透測試公司IOActive 10月26日發布報告指出,這兩大漏洞影響了衛星通信服務提供商Stratos Global設計銷售的AmosConnect 8系統平臺。Stratos 2009年被移動衛星服務提供商Inmarsat集團收購。
Inmarsat
利用美國通信衛星公司(COMSAT)的Marisat衛星進行衛星通信的最早的GEO衛星移動系統——軍用衛星通信系統。1982年形成了以國際海事衛星組織(Inmarsat)管理的Inmarsat系統,開始提供全球海事衛星通信服務。
AmosConnect 8(簡稱AC8)是在海洋環境中與衛星設備協同工作的平臺,是一個受密碼保護的船載通信平臺,能夠通過衛星連接為船只提供互聯網服務,船員可通過該平臺訪問船上互聯網服務,提供的而服務包括:
電子郵件;
即時通信;
定位報告;
船員互聯網;
自動文件傳輸;
應用程序集成。
研究人員在這款軟件中發現兩大高危漏洞,允許通過身份驗證的攻擊者完全控制AmosConnect服務器。IOActive公司報告了漏洞,但目前尚未發布補丁,因為Inmarsat 2017年6月宣布停用AmosConnect 8。這就意味著,用戶不會收到修復這兩大漏洞的補丁。
該公司在其公告中表示:自2017年6月30日起,公司將停止提供和支持AmosConnect 8。公司繼續將AmosConnect 7作為主推產品。
根據IOActive的報告,AtmosConnect 8平臺存在秘密后門賬戶,其允許攻擊者完全訪問該平臺。研究人員在AtmosConnect源代碼中發現一個名為“authenticateBackdoorUser”函數時發現這個后門賬號。
研究代碼后,研究人員意識到這個后門賬號的用戶名在每臺設備上是唯一的,每個AC8登錄界面均會顯示“Post Office ID”。 任何人均可查看AtmosConnect的源代碼,通過authenticateBackdoorUser逆向推算出密碼。攻擊者可借助該漏洞濫用AmosConnect任務管理器在遠程系統上執行具有SYSTEM權限的命令。
除了該后門,登錄表單中的SQL注入漏洞也對該平臺構成影響,攻擊者可訪問內部數據庫存儲的憑證。
IOActive首席安全顧問Mario Ballano(馬里奧·巴拉諾)表示,攻擊者只能借助這兩個漏洞控制安裝AmosConnect的服務器。目前而言,這類服務器通常位于船舶IT網絡內,但這類服務器或可以訪問其它網絡(例如導航系統網絡),這樣一來,攻擊者便能訪問其它網絡,而且船舶的網絡架構也不盡相同。此外,即使攻擊者能訪問其它網絡(例如導航系統網絡),他們可能需要利用網絡中的其它系統漏洞達到控制系統目的。
Ballano總結道,這種的成功幾率不高。攻擊者通過這些漏洞訪問敏感網絡的機會渺茫,因為還需要發現/利用該網絡系統的漏洞。這兩大漏洞不太適合大規模利用。攻擊者必須訪問船舶的內部網絡,這就排除了通過互聯網發起大規模攻擊的可能性。
Inmarsat早已停用AC8雖然Ballano排除了僵尸網絡運作者利用船舶資源的可能性,但這些存在安全隱患的系統最可能被國家黑客和經濟型黑客利用。負責船舶外界通信的此類系統,存在漏洞的此類系統對他們可謂“珍寶”。
Ballano還提到,幾乎所有人都對企業敏感信息感興趣,想要攻擊船舶IT基礎設施的攻擊者可能會利用這些漏洞。如此一來,船員和企業數據會面臨巨大風險,整個船舶的安全也可能會受到威脅。由于全球的物流供應鏈依賴船舶,再加上網絡犯罪分子不斷挖掘新方式發起攻擊,因此海上網絡安全亟待重視。
Inmarsat注意到IOActive的研究報告,但值得注意的是,AC8 已停用。
IOActive 發布報告之前,Inmarsat就已開始啟動AmosConnect 8停用程序,公司已告知客戶,該服務于今年7月停止使用。
IOActive 2017年初向我方報告漏洞時,盡管公司將停用該產品,但Inmarsat還是發布了安全補丁,從而大大降低了潛在風險。公司還采取措施防止用戶通過公共網站下載并激活AC8。Inmarsat的中央服務器不與AmosConnect 8電子郵件客戶端連接,因為客戶無法使用該軟件。
要利用這些漏洞并非易事,這是因為漏洞利用者需獲取船載PC(運行AC8郵件客戶端的)的直接訪問權限。入侵者只能通過物理訪問這臺PC才能達到目的,這就要求入侵者獲取船只和PC訪問權。雖然存在遠程訪問的可能性,但Inmarsat在岸上部署的防火墻已阻止了這種可能性,因此遠程訪問的可能性微乎其微。
京公網安備 11010502049343號