网络安全初创公司 ThreatLeap 创始人、安全研究员 Leon Juranić指出,美国宇航局(NASA)内部开发使用的开源软件存在漏洞,可能被攻击者利用入侵其系统。
漏洞详情
曾创立并领导 DefenseCode 的应用安全专家 Juranić与 NASA 早有渊源——2009 年他就发现并报告了 NASA 通用数据格式(CDF)软件库中的多个严重漏洞,最终促使开发团队修复问题。此次他对 NASA 开源软件的审计仅耗时 4 小时,却发现了大量安全隐患。
在 NASA 便携式快速图像处理环境(QuIP)中,Juranić首先发现栈缓冲区溢出漏洞,继而对该机构使用的同类工具展开排查。他解释:"NASA 的 GitHub 代码库包含大量专用文件格式处理程序,攻击者可通过电子邮件或网络向受害者投递恶意构造的数据文件。"
经分析确认,以下工具均因使用存在安全隐患的函数而存在缓冲区溢出漏洞:
- 飞机工程分析工具 OpenVSP(开放式飞行器草图板)
- 区域水文极端评估系统 RHEAS
- 多仪器分析软件 OMINAS
- 二维/三维网格适配工具 Refine
- 包含数值分析库的 CFD 工具软件集(CFDTOOLS)
- knife 函数库
Juranić向 Help Net Security 透露,尽管还发现 NASA 开发的若干 Web 应用存在反射型跨站脚本(XSS)漏洞和硬编码密钥,但各类文件处理软件中的内存破坏漏洞尤为危险,可能引发远程代码执行。"虽然未实际验证这些典型栈溢出漏洞的可利用性,但文件解析过程中相关代码可被远程触发,理论上具备攻击条件。"
潜在威胁
国家背景的黑客组织可能利用这些漏洞入侵 NASA 计算机系统,其他使用相关软件的政府或民间机构同样面临风险。尽管攻击需诱骗目标员工下载恶意文件,但 Juranić强调:"攻击者每天都在突破这道防线,而杀毒软件(AV)、端点检测响应(EDR)、入侵防御系统(IPS/IDS)通常无法防范此类威胁(如恶意文件中的零日漏洞)。"
对于漏洞长期未被发现的原因,Juranić虽未妄加揣测,但指出 NASA 软件安全流程和软件发布授权(SRA)政策存在明显改进空间:"如今各领域软件开发都必须遵循安全开发生命周期(SDLC)标准,政府机构及其承包商更应如此。"
漏洞上报困境
"仅通过代码关键词检索就能在短时间内发现如此多高危漏洞令人震惊——其中部分软件还用于太空任务或数据处理。"Juranić表示。虽然复杂漏洞可能潜伏数十年,但此次发现的均属"唾手可得"的低级错误。
他质疑道:"NASA 官方 GitHub 公开其内部软件代码,我不相信全球只有我一人关注这些漏洞。"尽管通过多种渠道联系 NASA 十余次,但仅从安全运营中心(SOC)获知"不回应外部个人漏洞报告"的官方政策。此外,NASA 的 GitHub 项目未纳入漏洞赏金计划,导致通过公开平台提交安全问题困难重重。
参考来源:
