新闻快讯
< >

警告:船舶通信平台AmosConnect被曝后门和SQL注入漏洞

E安全10月28日讯 最近,全球船只上安装的卫星通信系统SATCOM被曝受到两大高危漏洞影响:

  • 具有全系统访问权限的隐藏后门账户;

  • 登录表单存在SQL注入漏洞。

网络安全与渗透测试公司IOActive 10月26日发布报告指出,这两大漏洞影响了卫星通信服务提供商Stratos Global设计销售的AmosConnect 8系统平台。Stratos 2009年被移动卫星服务提供商Inmarsat集团收购。

船舶通信平台AmosConnect被曝后门和SQL注入漏洞 -E安全

Inmarsat

利用美国通信卫星公司(COMSAT)的Marisat卫星进行卫星通信的最早的GEO卫星移动系统——军用卫星通信系统。1982年形成了以国际海事卫星组织(Inmarsat)管理的Inmarsat系统,开始提供全球海事卫星通信服务。
   

何为AmosConnect 8?

AmosConnect 8(简称AC8)是在海洋环境中与卫星设备协同工作的平台,是一个受密码保护的船载通信平台,能够通过卫星连接为船只提供互联网服务,船员可通过该平台访问船上互联网服务,提供的而服务包括:

  • 电子邮件;

  • 即时通信;

  • 定位报告;

  • 船员互联网;

  • 自动文件传输;

  • 应用程序集成。

研究人员在这款软件中发现两大高危漏洞,允许通过身份验证的攻击者完全控制AmosConnect服务器。IOActive公司报告了漏洞,但目前尚未发布补丁,因为Inmarsat 2017年6月宣布停用AmosConnect 8。这就意味着,用户不会收到修复这两大漏洞的补丁。
该公司在其公告中表示:自2017年6月30日起,公司将停止提供和支持AmosConnect 8。公司继续将AmosConnect 7作为主推产品。

两个漏洞详情

根据IOActive的报告,AtmosConnect 8平台存在秘密后门账户,其允许攻击者完全访问该平台。研究人员在AtmosConnect源代码中发现一个名为“authenticateBackdoorUser”函数时发现这个后门账号。

研究代码后,研究人员意识到这个后门账号的用户名在每台设备上是唯一的,每个AC8登录界面均会显示“Post Office ID”。 任何人均可查看AtmosConnect的源代码,通过authenticateBackdoorUser逆向推算出密码。攻击者可借助该漏洞滥用AmosConnect任务管理器在远程系统上执行具有SYSTEM权限的命令。

船舶通信平台AmosConnect被曝后门和SQL注入漏洞 -E安全

除了该后门,登录表单中的SQL注入漏洞也对该平台构成影响,攻击者可访问内部数据库存储的凭证。

IOActive首席安全顾问Mario Ballano(马里奥·巴拉诺)表示,攻击者只能借助这两个漏洞控制安装AmosConnect的服务器。目前而言,这类服务器通常位于船舶IT网络内,但这类服务器或可以访问其它网络(例如导航系统网络),这样一来,攻击者便能访问其它网络,而且船舶的网络架构也不尽相同。此外,即使攻击者能访问其它网络(例如导航系统网络),他们可能需要利用网络中的其它系统漏洞达到控制系统目的。

Ballano总结道,这种的成功几率不高。攻击者通过这些漏洞访问敏感网络的机会渺茫,因为还需要发现/利用该网络系统的漏洞。这两大漏洞不太适合大规模利用。攻击者必须访问船舶的内部网络,这就排除了通过互联网发起大规模攻击的可能性。

Inmarsat早已停用AC8

虽然Ballano排除了僵尸网络运作者利用船舶资源的可能性,但这些存在安全隐患的系统最可能被国家黑客和经济型黑客利用。负责船舶外界通信的此类系统,存在漏洞的此类系统对他们可谓“珍宝”。

Ballano还提到,几乎所有人都对企业敏感信息感兴趣,想要攻击船舶IT基础设施的攻击者可能会利用这些漏洞。如此一来,船员和企业数据会面临巨大风险,整个船舶的安全也可能会受到威胁。由于全球的物流供应链依赖船舶,再加上网络犯罪分子不断挖掘新方式发起攻击,因此海上网络安全亟待重视。

Inmarsat为此发表如下声明:

Inmarsat注意到IOActive的研究报告,但值得注意的是,AC8 已停用。

IOActive 发布报告之前,Inmarsat就已开始启动AmosConnect 8停用程序,公司已告知客户,该服务于今年7月停止使用。

IOActive 2017年初向我方报告漏洞时,尽管公司将停用该产品,但Inmarsat还是发布了安全补丁,从而大大降低了潜在风险。公司还采取措施防止用户通过公共网站下载并激活AC8。Inmarsat的中央服务器不与AmosConnect 8电子邮件客户端连接,因为客户无法使用该软件。

要利用这些漏洞并非易事,这是因为漏洞利用者需获取船载PC(运行AC8邮件客户端的)的直接访问权限。入侵者只能通过物理访问这台PC才能达到目的,这就要求入侵者获取船只和PC访问权。虽然存在远程访问的可能性,但Inmarsat在岸上部署的防火墙已阻止了这种可能性,因此远程访问的可能性微乎其微。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。