美國政府最近的一份審計(jì)報(bào)告發(fā)現(xiàn),美國聯(lián)合極地衛(wèi)星系統(tǒng)(JPSS)的地面控制系統(tǒng)存在大量漏洞,部分漏洞甚至超過了兩年。
這些漏洞中,有12703個(gè)被標(biāo)注為高風(fēng)險(xiǎn)。 這次美國政府的審計(jì)是針對(duì)“重要影響”IT系統(tǒng)進(jìn)行的安全審計(jì)。 審查了JPSS和芬蘭語國家極地軌道合作計(jì)劃的地面控制系統(tǒng)。 JPSS是美國的極地軌道氣象衛(wèi)星,為美國提供氣象預(yù)測(cè)和氣候監(jiān)測(cè)的數(shù)據(jù)。
美國商務(wù)部的系統(tǒng)采購和IT安全助理主任Allen Crawley披露,他們的審計(jì)在NASA和國家海洋與大氣管理局(NOAA)的地面控制系統(tǒng)中發(fā)現(xiàn)了大量令人震驚的漏洞。 “這些系統(tǒng)基本沒有完全部署安全控制, 系統(tǒng)中存在很多高風(fēng)險(xiǎn)漏洞。 JPSS的地面控制系統(tǒng)軟件中存在不少已知的漏洞,針對(duì)這些漏洞的攻擊工具從互聯(lián)網(wǎng)就可以獲得。”
審計(jì)人員發(fā)現(xiàn), 從2012年起, 系統(tǒng)中的高風(fēng)險(xiǎn)漏洞的數(shù)量增加了三分之二, 高風(fēng)險(xiǎn)漏洞是那些黑客相對(duì)容易攻擊, 并且攻擊會(huì)造成對(duì)重要?dú)庀箢A(yù)報(bào)和氣候監(jiān)測(cè)數(shù)據(jù)的重要破壞的漏洞。
而且,審計(jì)人員發(fā)現(xiàn),從2012年到2013年,地面控制站僅僅部署了美國國家標(biāo)準(zhǔn)與技術(shù)研究院所要求的安全控制點(diǎn)的四分之一。 更糟糕的是, 大部分的安全漏洞在兩年內(nèi)不能得到解決, 盡管根據(jù)要求,高風(fēng)險(xiǎn)漏洞必須在發(fā)現(xiàn)后一個(gè)月內(nèi)得到解決。
從過去來看,補(bǔ)丁一般需要14個(gè)月才能打好,而對(duì)于從滲透測(cè)試發(fā)現(xiàn)的漏洞,則需要超過一年才能解決。 JPSS地面站的管理團(tuán)隊(duì)說在差不多2011年, IT維護(hù)基本停滯。
審計(jì)人員發(fā)現(xiàn), 這些舊的安全漏洞包括超過9100個(gè)高風(fēng)險(xiǎn)的沒有補(bǔ)丁的漏洞。 錯(cuò)誤的配置,以及不必要的操作系統(tǒng)和軟件的權(quán)限。 有3600個(gè)密碼及審計(jì)設(shè)置不符合JPSS的規(guī)定。 而有3個(gè)在2012年滲透測(cè)試中發(fā)現(xiàn)的漏洞至今依然存在。而根據(jù)審計(jì)報(bào)告的結(jié)論,這些漏洞的解決僅僅需要對(duì)地面控制系統(tǒng)做出少量修改就可完成。
這些地面控制系統(tǒng)的漏洞可能導(dǎo)致NOAA對(duì)氣象衛(wèi)星的命令與控制失效。 而NOAA在員工BYOD設(shè)備的管理方面也被發(fā)現(xiàn)存在大量漏洞。