核安全:核輻射監測器發現後門賬戶等多項漏洞
關注E安全 關注網路安全一手資訊
E安全7月31日訊 網路安全公司IOActive的安全研究員魯本·聖塔瑪塔發現來自三家供應商的核輻射監測設備當中存在多項安全漏洞。但在這位研究人員與相關廠商進行聯繫時,對方出於多種原因而拒絕對此次報告的缺陷加以修復。
此次被發現的安全漏洞來自Digi、Ludlum以及Mirion三家公司銷售的多款產品型號。
輻射監測器中曝出安全漏洞
聖塔瑪塔此次研究的設備為輻射監測器,此類設備通常被安裝在核設施、海港、邊境口岸以及城市周邊,用以監測所在位置周邊的輻射水平。
此類設備發揮著極為重要的作用,其負責對核能源設施中的輻射峰值進行檢測並發布早期警報,同時還可偵測城市範圍內是否存在「臟彈(E安全註:臟彈又稱放射性炸彈,是一種大範圍傳播放射性物質的武器。它引爆傳統的爆炸物如黃色炸藥等,通過巨大的爆炸力,將內含的放射性物質,主要是放射性顆粒,拋射散布到空氣中,造成相當於核放射性的塵埃污染,形成災難性生態破壞。與傳統核武器不同,臟彈不產生核爆炸。但其引起的放射性顆粒傳播,會對人體造成傷害。)」。
儘管大多屬於非常規案例,但輻射監測器同時還可用於檢測核電廠員工是否試圖將放射性物質偷運出去。一旦有放射性設備及/或物質通過,此類監測器即會發布警報。
研究人員發現後門帳戶與低強度加密機制
聖塔瑪塔指出,他對多台輻射監測器機型進行了測試——從大型電動車輛與人體掃描機到專門安置在核電廠設施內牆壁上的小型感測器裝置皆在其中。
聖塔瑪塔發現了多種安全漏洞,其中包括後門帳戶、低強度加密機制、硬編碼加密密鑰以及非安全協議等等。
總體而言,聖塔瑪塔表示攻擊者能夠利用後門實現設備接管,或者利用其它漏洞實施中間人攻擊,從而攔截並修改監控器與控制器之間的往來流量。
一旦成功,攻擊者將能夠禁用警報機制或者輸出錯誤的計數。而惟一的實現條件,就是攻擊者必須靠近此類存在缺陷的設備,以便接入其網路或者篡改無線發射信號。
相關供應商拒絕修復漏洞,不過其中兩家廠商隨後改變主意
相關供應商拒絕修復漏洞,不過其中兩家廠商隨後改變主意聖塔瑪塔指出,他曾經與全部三家供應商取得聯繫,以下為各製造商當時給出的的答覆:
Digi公司承認報告內容屬實,但由於認定這些並不屬於安全問題,因此不會對相關漏洞進行修復。
Ludlum公司承認報告內容屬實,但拒絕解決這些問題。根據該公司的說法,這些設備位於安全設施之內,這已經足以防止其遭到濫用。
Mirion公司 承認安全漏洞確實存在,但出於保障WRM2互操作性的考慮而拒絕對其進行修復。Mirion公司與客戶方面取得聯繫以通報這種情況,並將在未來努力向產品中引入其它安全保護措施。
感興趣的讀者可以查看聖塔瑪塔在今年black hat 2017大會上發表題為《走向核時代:入侵輻射監測設備》的研究論文以了解這位研究人員在輻射監測設備層面進行的調查與測試工作。
今天聖塔瑪塔作出演講之後,ICS-CERT還基於聖塔瑪塔工作成果向啟用無線電遙測功能的Mirion設備發出警告。
在聖塔瑪塔於本屆2017美國黑帽大會上介紹這些漏洞之前,Digi與Mirion兩家公司與他取得了聯繫,表示已經改變了主意。雙方稱將共同修復報告內提及的安全漏洞。儘管態度方面有所轉變,但截至目前這些安全漏洞仍然客觀存在,甚至可能在未來數月乃至數年當中持續帶來潛在風險。
31
E安全推薦文章
官網:www.easyaq.com
2017年7月
01
02
03
04
05
06
07
※投資者為何紛紛湧向暗網情報公司?
※英國投資2000萬英鎊計劃啟動「網路學校計劃」
※黑客利用智能繪圖平板發起DDoS攻擊
※谷歌披露神秘的以色列間諜產品公司:Equus Technologies
TAG:E安全 |
※福島核電站2號機組安全殼底部發現核燃料碎片
※奇怪!福島核電站內發現異常核輻射
※以色列安全公司「意外」披露漏洞細節?AMD 處理器被發現13個嚴重漏洞
※調控單核/巨噬細胞發育的新分子機制被發現
※中科院等發現調控單核/巨噬細胞發育的新分子機制
※動物所等發現調控單核/巨噬細胞發育的新分子機制
※科研人員發現調控單核/巨噬細胞發育的新分子機制
※研究人員發現觸發計算機大漏洞觸點 現有補丁已經提供保護
※體檢發現幽門螺桿菌陽性怎麼辦?
※B站對快視頻事件調查結果公布!未發現用戶信息泄漏
※安全腦靶向基因療法的曙光:發現病毒載體通過血腦屏障所需的結構
※谷歌安全研究人員已經發現暴雪遊戲中的一個嚴重漏洞,使數百萬台電腦面臨風險
※肺癌生物標誌物的發現有望促進診斷性血液檢測方法的開發
※如何參加眾測項目發現美國國防部網站各類高危漏洞
※媒體測試發現PS4新固件欺騙顯示器已達到超採樣
※部分B站帳號被發現可直接登錄360快視頻,疑似資料庫泄漏
※敘軍檢查發現有人運輸武器彈藥
※日本福島核電站附近海域 發現超標「輻射魚」
※區塊鏈火爆 360監測發現全球首個安卓平台挖礦蠕蟲
※心理測試:選一款面具,測被星探發現你會被包裝成哪類明星?