总机:020-87516161 传真:020-87516161-8040
地址:广州市天河北路898号信源大厦3206-3211室 邮编:510660
安全公告编号:CNTA-2017-0074
近日,国家信息安全漏洞共享平台(CNVD)收录了船舶通信平台AmosConnect 8 存在后门与SQL注入漏洞(CNVD-2017-27849对应CVE-2017-3222、CNVD-2017-27843对应CVE-2017-3221),允许通过身份验证的攻击者完全控制AmosConnect服务器。
一、漏洞情况分析
AmosConnect 8(简称AC8)是在海洋环境中与卫星设备协同工作的平台,是移动卫星服务提供商Inmarsat集团旗下的产品,该产品是一个受密码保护的船载通信平台,能够通过卫星连接为船只提供互联网服务,船员可通过该平台访问船上互联网服务,提供的服务包括:电子邮件、即时通信、定位报告、船员互联网、自动文件传输、应用程序集成等。
根据安全厂商IOActive10月26日发布的报告,AtmosConnect8平台存在秘密后门账户,研究人员在AtmosConnect源代码中审计一个名为“authenticateBackdoorUser”函数时发现了这个后门账号,该后门账号的用户名在每台设备上是唯一的,每个AC8登录界面均会显示“Post Office ID”。任何人均可查看AtmosConnect的源代码,通过authenticateBackdoorUser逆向推算出密码。攻击者可借助该漏洞滥用AmosConnect任务管理器在远程系统上执行具有SYSTEM权限的命令。另外,在登录表单处存在一处SQL注入漏洞攻击者可访问内部数据库存储的凭证。
当前这类服务器通常位于船舶IT网络内,要利用这些漏洞较为困难,入侵者需要通过物理访问这台PC,这就要求入侵者获取船只和PC访问权。虽然存在远程访问的可能性,但厂商Inmarsat在岸上部署的防火墙已阻止了这种访问,因此远程访问的可能性较小。CNVD对漏洞的综合评级均为“中危”。
二、漏洞影响范围
AmosConnect 8
三、漏洞处置建议
针对此次的报告,Inmarsat厂商发表声明称:公司已告知客户,该服务于今年7月停止使用,公司继续将AmosConnect 7作为主推产品。并在此之前已经发布了安全补丁,从而大大降低了潜在风险。公司还采取措施防止用户通过公共网站下载并激活AC8。Inmarsat的中央服务器不与AmosConnect8电子邮件客户端连接,因此客户无法使用该软件。请关注厂商主页:http://www.inmarsat.com/news/inmarsat-response-to-ioactive-claims/
附:参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2017-27843
http://www.cnvd.org.cn/flaw/show/CNVD-2017-27849