網(wǎng)絡(luò)安全初創(chuàng)公司ThreatLeap創(chuàng)始人、安全研究員Leon Jurani?指出，美國(guó)宇航局（NASA）內(nèi)部開發(fā)使用的開源軟件存在漏洞，可能被攻擊者利用入侵其系統(tǒng)。

漏洞詳情

曾創(chuàng)立并領(lǐng)導(dǎo)DefenseCode的應(yīng)用安全專家Jurani?與NASA早有淵源——2009年他就發(fā)現(xiàn)并報(bào)告了NASA通用數(shù)據(jù)格式（CDF）軟件庫(kù)中的多個(gè)嚴(yán)重漏洞，最終促使開發(fā)團(tuán)隊(duì)修復(fù)問題。此次他對(duì)NASA開源軟件的審計(jì)僅耗時(shí)4小時(shí)，卻發(fā)現(xiàn)了大量安全隱患。

在NASA便攜式快速圖像處理環(huán)境（QuIP）中，Jurani?首先發(fā)現(xiàn)棧緩沖區(qū)溢出漏洞，繼而對(duì)該機(jī)構(gòu)使用的同類工具展開排查。他解釋："NASA的GitHub代碼庫(kù)包含大量專用文件格式處理程序，攻擊者可通過(guò)電子郵件或網(wǎng)絡(luò)向受害者投遞惡意構(gòu)造的數(shù)據(jù)文件。"

經(jīng)分析確認(rèn)，以下工具均因使用存在安全隱患的函數(shù)而存在緩沖區(qū)溢出漏洞：

• 飛機(jī)工程分析工具OpenVSP（開放式飛行器草圖板）
• 區(qū)域水文極端評(píng)估系統(tǒng)RHEAS
• 多儀器分析軟件OMINAS
• 二維/三維網(wǎng)格適配工具Refine
• 包含數(shù)值分析庫(kù)的CFD工具軟件集（CFDTOOLS）
• knife函數(shù)庫(kù)

Jurani?向Help Net Security透露，盡管還發(fā)現(xiàn)NASA開發(fā)的若干Web應(yīng)用存在反射型跨站腳本（XSS）漏洞和硬編碼密鑰，但各類文件處理軟件中的內(nèi)存破壞漏洞尤為危險(xiǎn)，可能引發(fā)遠(yuǎn)程代碼執(zhí)行。"雖然未實(shí)際驗(yàn)證這些典型棧溢出漏洞的可利用性，但文件解析過(guò)程中相關(guān)代碼可被遠(yuǎn)程觸發(fā)，理論上具備攻擊條件。"

潛在威脅

國(guó)家背景的黑客組織可能利用這些漏洞入侵NASA計(jì)算機(jī)系統(tǒng)，其他使用相關(guān)軟件的政府或民間機(jī)構(gòu)同樣面臨風(fēng)險(xiǎn)。盡管攻擊需誘騙目標(biāo)員工下載惡意文件，但Jurani?強(qiáng)調(diào)："攻擊者每天都在突破這道防線，而殺毒軟件（AV）、端點(diǎn)檢測(cè)響應(yīng)（EDR）、入侵防御系統(tǒng)（IPS/IDS）通常無(wú)法防范此類威脅（如惡意文件中的零日漏洞）。"

對(duì)于漏洞長(zhǎng)期未被發(fā)現(xiàn)的原因，Jurani?雖未妄加揣測(cè)，但指出NASA軟件安全流程和軟件發(fā)布授權(quán)（SRA）政策存在明顯改進(jìn)空間："如今各領(lǐng)域軟件開發(fā)都必須遵循安全開發(fā)生命周期（SDLC）標(biāo)準(zhǔn)，政府機(jī)構(gòu)及其承包商更應(yīng)如此。"

漏洞上報(bào)困境

"僅通過(guò)代碼關(guān)鍵詞檢索就能在短時(shí)間內(nèi)發(fā)現(xiàn)如此多高危漏洞令人震驚——其中部分軟件還用于太空任務(wù)或數(shù)據(jù)處理。"Jurani?表示。雖然復(fù)雜漏洞可能潛伏數(shù)十年，但此次發(fā)現(xiàn)的均屬"唾手可得"的低級(jí)錯(cuò)誤。

他質(zhì)疑道："NASA官方GitHub公開其內(nèi)部軟件代碼，我不相信全球只有我一人關(guān)注這些漏洞。"盡管通過(guò)多種渠道聯(lián)系NASA十余次，但僅從安全運(yùn)營(yíng)中心（SOC）獲知"不回應(yīng)外部個(gè)人漏洞報(bào)告"的官方政策。此外，NASA的GitHub項(xiàng)目未納入漏洞賞金計(jì)劃，導(dǎo)致通過(guò)公開平臺(tái)提交安全問題困難重重。