美國衛(wèi)星地面控制系統(tǒng)出漏洞 可能導(dǎo)致衛(wèi)星失控
責(zé)編:admin |2014-09-30 13:25:19美國政府最近的一份審計報告發(fā)現(xiàn),美國聯(lián)合極地衛(wèi)星系統(tǒng)(JPSS)的地面控制系統(tǒng)存在大量漏洞,部分漏洞甚至超過了兩年。
這些漏洞中,有12703個被標(biāo)注為高風(fēng)險。 這次美國政府的審計是針對“重要影響”IT系統(tǒng)進(jìn)行的安全審計。 審查了JPSS和芬蘭語國家極地軌道合作計劃的地面控制系統(tǒng)。 JPSS是美國的極地軌道氣象衛(wèi)星,為美國提供氣象預(yù)測和氣候監(jiān)測的數(shù)據(jù)。
美國商務(wù)部的系統(tǒng)采購和IT安全助理主任Allen Crawley披露,他們的審計在NASA和國家海洋與大氣管理局(NOAA)的地面控制系統(tǒng)中發(fā)現(xiàn)了大量令人震驚的漏洞。 “這些系統(tǒng)基本沒有完全部署安全控制, 系統(tǒng)中存在很多高風(fēng)險漏洞。 JPSS的地面控制系統(tǒng)軟件中存在不少已知的漏洞,針對這些漏洞的攻擊工具從互聯(lián)網(wǎng)就可以獲得。”
審計人員發(fā)現(xiàn), 從2012年起, 系統(tǒng)中的高風(fēng)險漏洞的數(shù)量增加了三分之二, 高風(fēng)險漏洞是那些黑客相對容易攻擊, 并且攻擊會造成對重要?dú)庀箢A(yù)報和氣候監(jiān)測數(shù)據(jù)的重要破壞的漏洞。
而且,審計人員發(fā)現(xiàn),從2012年到2013年,地面控制站僅僅部署了美國國家標(biāo)準(zhǔn)與技術(shù)研究院所要求的安全控制點(diǎn)的四分之一。 更糟糕的是, 大部分的安全漏洞在兩年內(nèi)不能得到解決, 盡管根據(jù)要求,高風(fēng)險漏洞必須在發(fā)現(xiàn)后一個月內(nèi)得到解決。
從過去來看,補(bǔ)丁一般需要14個月才能打好,而對于從滲透測試發(fā)現(xiàn)的漏洞,則需要超過一年才能解決。 JPSS地面站的管理團(tuán)隊(duì)說在差不多2011年, IT維護(hù)基本停滯。
審計人員發(fā)現(xiàn), 這些舊的安全漏洞包括超過9100個高風(fēng)險的沒有補(bǔ)丁的漏洞。 錯誤的配置,以及不必要的操作系統(tǒng)和軟件的權(quán)限。 有3600個密碼及審計設(shè)置不符合JPSS的規(guī)定。 而有3個在2012年滲透測試中發(fā)現(xiàn)的漏洞至今依然存在。而根據(jù)審計報告的結(jié)論,這些漏洞的解決僅僅需要對地面控制系統(tǒng)做出少量修改就可完成。
這些地面控制系統(tǒng)的漏洞可能導(dǎo)致NOAA對氣象衛(wèi)星的命令與控制失效。 而NOAA在員工BYOD設(shè)備的管理方面也被發(fā)現(xiàn)存在大量漏洞。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧