亚洲乱码中文,国内啪啪,国产精品女丝袜白丝袜

神漏洞！遠程篡改紅綠燈時間，制造交通堵塞事故

責編：gltian ｜2024-07-23 10:52:52

一名安全研究人員表示，他發現了一個交通信號控制器的漏洞。惡意黑客或能利用該漏洞改變交通信號燈，制造交通堵塞。

網絡安全公司Red Threat的研究員Andrew Lemon近日發表了兩篇博客文章，詳細介紹了他在調查交通信號控制器安全性時發現的研究結果。

Lemon研究的一種設備型號是Intelight X-1。他表示，在該設備上發現了一個漏洞，允許任何人完全控制交通信號燈。根據Lemon的說法，這是一個非常簡單的基礎性漏洞：設備暴露在互聯網上的網頁界面，且沒有認證機制。

Lemon告訴外媒TechCrunch：“我簡直不敢相信。如此明顯的問題居然會被忽略，令我感到震驚?！?/p>

Lemon說，他試著驗證是否可以觸發，類似電影《偷天換日》中所展示的場景——黑客將所有十字路口的燈都切換為綠燈。不過，一種名為故障管理單元的設備令這種情況無法成真。

Lemon表示：“我們仍然可以更改信號燈的時間設置。例如，可以將一個方向的切換時間設置為三分鐘，另一個方向設置為三秒鐘。在物理世界中，這大抵是一種拒絕服務攻擊，因此可以堵塞交通?！?/p>

目前尚不清楚有多少易受攻擊的Intelight設備可以從互聯網訪問。Lemon表示，他帶領的團隊發現了大約30個暴露的設備。

研究員稱制造商拒絕修漏洞并警告他們

Lemon說，他聯系了Intelight的制造公司Q-Free，報告了這個漏洞。但根據Lemon的說法，Q-Free沒有回應并與他合作修復這個漏洞，反而給他發了一封法律信件。他在博客文章中發布了該信件的副本。

信件副本中寫道：“我們只接受與目前在售的Q-Free產品相關的漏洞報告。我們沒有足夠的資源來處理對過時產品的分析。”該信件似乎由Q-Free的總法律顧問Steven D. Tibbets簽署。

信件副本中還說，Lemon分析的設備并不在售，而且他和Red Threat研究該設備的方式可能違反了美國反黑客法《計算機欺詐和濫用法》。公司沒有具體說明Lemon的研究可能如何違反法律。信中要求Lemon和Red Threat承諾不公布漏洞的詳細信息，因為這可能危害國家安全。

信中寫道：“我們還敦促Red Threat考慮發布對使用Q-Free設備的關鍵基礎設施安全性的影響。與您所述的改善網絡安全的目標相反，漏洞的發布可能會鼓勵對基礎設施的攻擊，并給Red Threat帶來相關責任?！?/p>

Lemon表示，他對這封信感到驚訝，并說“真的感覺他們只是想通過法律威脅和其他手段讓我保持沉默。”

制造商稱產品早已停產，客戶應限制公網訪問

Q-Free的發言人Trisha Tunilla告訴TechCrunch：“需要指出的是，涉事控制器早在近十年前就停產了。”

Tunilla在一封電子郵件中寫道：“根據我們的記錄，無法確認這些控制器是否都已更新。然而，如果這些舊控制器仍在使用，強烈建議客戶立即聯系我們，以便我們提供指導和解決方案?！?/p>

關于Q-Free總法律顧問發出的信件，Tunilla表示：“這是我們法律部門處理此類詢問的標準程序?！?/p>

Lemon表示，通過研究，他還發現了一些由Econolite制造的交通控制器設備暴露在互聯網上，并運行一種可能存在漏洞的協議。

該協議稱為NTCIP，是交通信號控制器的行業標準。Lemon表示，對于那些暴露在互聯網上的設備，黑客無需登錄即可更改系統中的數值。這些數值可以控制燈光閃爍的時間，或者設置十字路口所有燈光同時閃爍。

Lemon說，他沒有聯系Econolite，因為NTCIP問題已被先前知曉。

Econolite工程副總裁Sunny Chakravarty在接受TechCrunch采訪時證實了這一點。Chakravarty告訴TechCrunch，Lemon測試的Econolite設備已“報廢多年，所有用戶應將這些舊控制器更換為合適的新型產品?！?/p>

Chakravarty表示：“Econolite強烈建議客戶遵循網絡安全和訪問控制的最佳實踐，限制所有關鍵設備在開放的公共互聯網上的訪問。如果設備未暴露在開放的互聯網，作者的行為是不可能實現的?！?/p>

參考資料：https://techcrunch.com/2024/07/18/hackers-could-create-traffic-jams-thanks-to-flaw-in-traffic-light-controller-researcher-says/

來源：安全內參