2013年7月11日 星期四

美國緊急通報系統含有安全漏洞

美國緊急通報系統含有安全漏洞

OActive發現美國政府所使用的緊急廣播通報系統EAS含有安全漏洞,該系統使用的DASDEC應用程式伺服器韌體內含最高權限的SSH金鑰,允許駭客從遠端登入並執行任何功能,包括發佈不實的訊息。IOActive曾在美國蒙大拿州電視網路進行實驗,利用漏洞中斷當地正常電視節目播出,播放有關殭屍災難的假新聞。

資安業者IOActive本周透露,他們發現了美國電視台與廣播電台所使用的緊急通報系統(Emergency Alerting System,EAS)含有安全漏洞,將允許駭客散布不實的緊急消息。

EAS是美國自1997年便啟用的國家警告系統,透過電視與廣播網路以通知公眾有關龍捲風或洪水等異常氣候,也允許美國總統透過該系統發表10分鐘以內的聲明,歸美國聯邦通訊委員會(FCC)旗下的公共安全暨國土安全局管轄。

IOActive所發現的安全漏洞藏匿在EAS所使用的數位通報系統─DASDEC應用程式伺服器中,DASDEC是用來接收與認證EAS訊息,然後會截斷當時的廣播內容並以緊急訊息取而代之,包括DASDECⅠ與DASDECⅡ都含有安全漏洞。DASDEC是由Monroe Electronics旗下的Digital Alert Systems負責生產。

其實IOActive已經實驗過在美國蒙大拿州電視網路正常播放節目時,開採該漏洞並播放有關殭屍災難的新聞,但事實上並無殭屍災難。IOActive首席科學家Mike Davis表示,市場上銷售的DASDEC應用程式伺服器韌體內含最高權限的SSH金鑰,該金鑰允許駭客遠端登入並執行任何功能,例如用來發布虛假的緊急訊息。

美國電腦緊急應變小組(US-CERT)也提出警告,DASDEC系統的韌體映像檔外洩讓駭客能取得最高權限的SSH金鑰,不過業者已在今年4月更新韌體以終止被危害的SSH金鑰。

轉載自《iThome》