热门船只卫星通信系统中出现后门账户
作者:Catalin Cimpanu
翻译:360代码卫士团队
安装在全球船只上的热门卫星通信 (SATCOM) 系统受两个严重安全缺陷的影响:一个是拥有全部系统权限的隐藏后门,一个是登录表单中出现的SQL注入漏洞。
这些漏洞影响由移动卫星服务公司Inmarsat集团在2009年收购的公司Stratos Global所涉及和销售的AmosConnect 8。
IOActive公司发布报告披露了这两个漏洞,而且这两个漏洞将不会打补丁。原因是就在几个月前(6月份)Stratos停产AtmosConnect 8产品。Stratos公司网站指出,从2017年6月30日期,将不再支持AmosConnect 8,而AmosConnect 7将继续作为主打产品。
产品的降级并非发现这两个漏洞的直接结果,早在2016年11月就宣布了这一消息。AtmosConnect8盒子是专门为在轮船、石油钻井机和其它隔离的海运环境中运行而设计的SATCOM系统。
该系统通过一个卫星连接向船只提供互联网连接。AtmosConnect8平台受密码保护,供船员访问船载互联网服务。
一份报告指出,AtmosConnect8平台带有一个秘密后门账户,可用于完全访问该平台。
研究人员在AtmosConnect源代码中找到一个函数名为 “authenticateBackdoorUser”,从而发现了这个后门账户。用户要了解这个函数的功能,并不需要成为一名火箭专家。研究人员调查该代码后发现这个后门账户用户名在每台设备上都是唯一的,而且是每台AtmosConnect8登录屏幕上显示出的“邮局(Post Office)”ID。
密码衍生自这个ID,而且任何人都能推断出如何计算密码:只要查看AtmosConnect源代码并逆向工程authenticateBackdoorUser函数即可。
除了后门外,这个平台的表单还遭受SQL盲注漏洞影响。攻击者可访问存储在内部数据库中的凭证。
研究人员指出,攻击者只能利用这些缺陷控制AmosConnect安装的服务器。通常这个服务器会位于船只的IT网络中,安装AmosConnect的服务器可能拥有访问其它网络的权限,而攻击者就可借此访问这些网络,虽然这并非典型的攻击场景,而且船只的网络基础架构可能完全不同。
另外,即使攻击者能够访问其它网络,但他们可能需要利用位于该网络中系统的其它漏洞才能控制这些系统。简言之,攻击者利用这些缺陷访问敏感网络的可能性较小,而且利用漏洞需要发现/利用该网络系统中的漏洞。
此外,这些具体的漏洞不适合大规模利用,跟僵尸网络或其它脚本类场景不同。攻击需要访问船只的内部网络,因此大规模攻击是不可能发生的。
虽然利用这些船只资源无法实施僵尸网络行动,但这些易受攻击的系统很可能遭国家黑客和受经济利益驱动的黑客的利用。这些系统处理船只的整个外部通信并且拥有大量有价值信息。
研究人员指出,“任何对敏感的公司信息或意在船只IT基础设施的攻击者都能利用这些缺陷。船员和公司信息因此非常容易遭受攻击,而且会给整个船只的安全带来风险。海事网络安全必须严肃对待,因为我们的全球物流供应链依靠的就是海事安全而攻击者又找到新的攻击方法。”
这并非首份关于海事网络安全的报告。Rapid7公司的研究人员曾在2013年、IOActive 2014年和Pen Test Partner公司也都发布过类似报告。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/backdoor-account-found-in-popular-ship-satellite-communications-system/