Разделы

Безопасность Стратегия безопасности ИТ в госсекторе Техника

Любой желающий может взломать американскую систему оповещений о ЧС и поднять ложную тревогу

Копившиеся годами уязвимости в системах оповещения о ЧС угрожают перехватом контроля над ними. Хакеры могут распространить ложные предупреждения, что будет фактическим терактом.

Без подробностей

Федеральное агентство по чрезвычайным ситуациям (FEMA) при Министерстве внутренней безопасности США опубликовало краткий бюллетень с предупреждением о критических уязвимостях в публичных системах предупреждения о ЧС. Речь идёт о компоненте Интегрированной системы общественного оповещения и предупреждения (IPAWS) - системе экстренного предупреждения (Emergency Alert System - EAS), через которую население оповещают о катаклизмах и авариях через ТВ и радиосети.

В устройствах кодирования-декодирования, используемых в системе экстренного предупреждения (EAS), выявлен ряд программных ошибок, которые позволяют даже захватывать полный контроль над ними и распространять ложные сообщения.

Эксперт компании Cybir.com Кен Пайл (Ken Pyle) уже продемонстрировал рабочий эксплойт, позволяющий производить такие операции, и планирует представить подробности на хакерской конференции DEFCON 2022 11-14 августа.

ipaws600.jpg
Копившиеся годами уязвимости в системах оповещения о ЧС США угрожают перехватом контроля над ними

В бюллетене FEMA подчёркивается, что проблема абсолютно реальна и что для того, чтобы защититься от уязвимостей, все организации, связанные с системой оповещения, должны срочно установить программные обновления и защитить устройства файерволлами, а также постоянно мониторить их на предмет несанкционированного проникновения.

Уязвимости копились годами

В интервью изданию Bleeping Computer сам Кен Пайл отметил, что речь идёт в первую очередь в кодировщиках EAS - устройствах Monroe Electronics R189 One-Net DASDEC.

По словам Пайла, в этих устройствах накапливались уязвимости, исправлением которых никто не занимался. Как следствие, они превратились в одну большую проблему.

«Я могу с лёгкостью получить доступ к реквизитам доступа, сертификатам [безопасности], конечным устройствам, эксплуатировать уязвимости в веб-сервере, разослать поддельные предупреждения... отправлять произвольные валидные/упреждающие сигналы по своему усмотрению. Я также могу заблокировать легитимным пользователям активный доступ, пока он есть у меня, нейтрализовать или отключить реагирование системы», - напиал он.

По его словам, публиковать подробности об уязвимостях не стоит, пока проблема не устранена. А как скоро это произойдёт, вопрос открытый.

Почти десятилетие назад производитель - Monroe Electronics (теперь называющаяся Digital Alert Systems) исправляла максимально критическую уязвимость в тех же устройствах. «Баг», датированный 2013 годом (CVE-2013-4735), позволял получать root-доступ к устройствам и подделывать сигналы тревоги через SSH-сессию. Для этого использовался приватный ключ, который, как выяснилось, можно было легко извлечь из образов программных оболочек для устройств.

«К сожалению, нередко критические системы - а средства оповещения о ЧС к ним однозначно относятся, - обслуживаются с меньшим вниманием, чем должны, учитывая их роль, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Доступ к системам оповещения должен быть максимально ограничен, программные оболочки в идеале должны обновляться регулярно и в автоматическом режиме. На практике же сообщения об ошибках со стороны экспертов игнорируются. Между тем, ложные сообщения о чрезвычайных ситуациях могут иметь эффект спички, брошенной в пороховой склад: экономические последствия подобной информационной атаки будут сопоставимы с крупным терактом».

Роман Георгиев