轮船联网平台漏洞严重威胁国际海事基础设施

发布时间:2017-10-31 13:11 作者:nana 来源:安全牛点击:加载中...次

　　公海上，咸湿的空气，无际的海洋，孤单寂寞中幸好还有卫星网络连接相伴左右。但这看似安静祥和的环境中，却潜藏着蠢蠢欲动的漏洞风险。安全咨询公司IOActive的研究人员称，轮船用于连接互联网的平台存在软件漏洞，可暴露船只在海上的数据。这些漏洞还预示着国际海事基础设施中更大的威胁。

　　10月26日发布的一份报告，描述了AmosConnect 8网络平台中的2个漏洞。轮船使用该平台监视IT和导航系统，船员也用该平台收发消息、邮件，浏览网页。该平台属国际海事卫星公司Inmarsat旗下Stratos Global公司的产品，对AmosConnect产品的入侵，可暴露大量操作数据和个人数据，甚至会破坏船上本应隔离的其他关键系统。

　　负责此项研究的IOActive首席安全顾问马里奥·巴拉诺称：

　　这是很容易得手的。船上用的软件大多都已10-15年高龄，本应以隔离方式实现并部署。于是，船上环境所用的其他软件很可能也面临类似漏洞的威胁，因为海上产业最初是没有互联网连接的，但现在情况完全不一样了。

　　巴拉诺在AmosConnect 8上发现的2个漏洞并非唾手可得，但若攻击者能接触到船上网络——可能通过带到船上的被感染移动设备、插入端口交换文件的带毒U盘，或者直接物理接触，这两个漏洞就可引领攻击者摸进船上系统更深处了。

　　第1个漏洞是该平台的登录表单，可使攻击者获取存有该软件登录凭证的数据库，暴露出所有用户名/口令对。更糟的是，AmosConnect 8的凭证是明文存储的，意味着攻击者甚至都不用破解什么加密体制，可以施施然带走拿到的东西直接使用。

　　另一个漏洞利用了内置进每个AmosConnect服务器中的后门账户，该账户拥有全部系统权限，可用名为AmosConnect任务管理器的工具执行远程指令。

　　该后门由类似船上“Post Office ID”之类的东西(用于协调卫星互联网之类的海上无线连接)和口令保护。但巴拉诺发现，该口令可以被推导出来，因为是用 Post Office ID 以简单的算法生成的。这意味着，攻击者可以获得远程访问特权，接手该任务管理器配置页面，控制整个平台。

　　海上网络一般会将导航、工控和通用IT之类的系统隔离出来——一项重要的安全操作。但只要有AmosConnect的管理权限，攻击者便占据了在此设置中探测漏洞的有利位置。

　　通常，船上网络的不同部分不会有太多重合，但网络内某些点上，会有部分流量用于交换数据。于是，如果你入侵了装有AmosConnect的服务器，是有可能访问到某些其他网络的。这样一来，情况会更加棘手，因为攻击者可以在网络间跳转。

　　IOActive宣称，2016年10月就已通告Inmarsat有关AmosConnect 8漏洞的发现。 Inmarsat承诺修复这2个漏洞，并于2016年11月开始通告客户，将在2017年6月停止对AmosConnect 8的支持。该公司鼓励客户降级到更老的版本 AmosConnect 7。该举动是否与IOActive的发现有关，我们尚不清楚。Inmarsat宣称，在让整个平台退休并完全禁用之前，就已发布了AmosConnect 8补丁。IOActive对Inmarsat的漏洞修复持有异议。

　　一份声明中，Inmarsat称：“在IOActive让我们注意到潜在漏洞的时候，也就是2017年初，尽管该产品已经接近寿命终点，Inmarsat依然发布了一个安全补丁，大幅减小AC8的潜在风险。Inmarsat中心服务器不再接受来自AmosConnect 8邮件客户的的连接，所以，即便客户想用，也用不了该软件了。”

　　有关该漏洞的计算机应急响应小组(CERT)报告指出，“对该漏洞的成功利用，可使远程攻击者访问或影响安装在船舶计算机上的AmosConnect 8邮件数据库。AmosConnect 8已近生命终结，不再受到支持。”

　　在AmosConnect 8禁用之前，非营利组织Mitre，依然将这2个漏洞列的“被利用概率”列为“非常高”。

　　全世界成千上万艘轮船使用AmosConnect平台，那些没降级到老版本软件的轮船，将一直暴露在风险之中。该长期且广泛的漏洞，只会加重海上连接安全欠缺的状况。正如互联网出现或广泛采纳之前开发的其他基础设施和工业控制系统，海事行业如今也急于实现全面的网络安全防护了。

　　6月，与AmosConnect漏洞无关的一种危险欺骗攻击，在黑海上让约20艘轮船失去了GPS服务。6月末，丹麦航运巨头马士基被NotPetya勒索软件攻击搞瘫痪的时候，其租用的洛杉矶港最大码头，直接关闭了数天。10月14日，国会女议员诺玛·托雷斯的海事网络安全提案被众议院通过的时候，她说：“6月份让洛杉矶港受到重大影响的网络攻击，揭示了我们海事安全中的重大漏洞，我们必须抢在事态恶化之前解决这些漏洞。”

　　立法无疑有助于保持海上网络井然有序。但海事行业发展之初本就没考虑过应对当今飞速进化的网络威胁，若想跟上当前网络威胁，深层次的结构性调整不可避免。

(责任编辑：宋编辑)