交通信号灯曝严重漏洞,可人为操控引发交通瘫痪
入侵交通信号系统来控制红绿灯是我们常在电影中看到的场景,攻击者利用这种方式进行犯罪活动,可如今它却发生在现实生活中。
上周,全球最大信号灯控制器制造巨头SWARCO被曝严重漏洞,黑客可以利用这个严重漏洞破坏交通信号灯,甚至随意切换红绿灯,造成交通瘫痪,乃至引发交通事故,并给人们的生命安全埋下隐患。SWARCO是交通控制系统的供应商,总部位于德国,业务覆盖欧洲地区。
发现该严重漏洞的是一家为工业和嵌入式系统提供网络安全指导和解决方案的德国公司ProtectEM。ProtectEM的研究人员发现,SWARCO的CPU LS4000交通灯控制器具有一个可调试的开放端口,容易遭到黑客利用。
该漏洞编号为CVE-2020-12493,是一个“访问控制不当”的漏洞问题,黑客可以利用这个漏洞获得设备的root授权,无需访问许可。
该漏洞利用难度低,但是其CVSS评分为10,为严重漏洞,并且影响从CPU LS4000的G4 SWARCO开始的所有操作系统版本。
然而,要利用此漏洞需要对目标控制器的物理访问。虽然这降低了攻击的可能性,但是在发生此类事件的情况下,攻击者还是可能会停用交通信号灯,从而造成巨大的交通中断。
美国网络安全和基础结构安全局(CISA)和德国的VDE CERT最近发布了有关此漏洞的公告。
德国VDE-CERT指出,“用于调试的开放端口授予对设备的root访问权限,而无需通过网络进行访问控制。攻击者可以利用此漏洞来访问设备并干扰已连接设备的操作。”
ProtectEM研究人员于2019年7月向该供应商报告了该漏洞,并于今年4月发布了安全补丁。
该漏洞影响了以G4开头的操作系统的SWARCO CPU LS4000。当供应商发布补丁程序以修复漏洞并关闭端口时,用户应确保更新其系统。
此外,US-CERT还建议用户利用以下方法避免遭受攻击:
- 确保将控制系统与互联网隔离开来,使其保持最低限度的网络暴露。
- 通过防火墙保护控制系统和设备,并将其与业务网络隔离。
- 远程访问安全设备时,必须使用vpn。
早在2014年就曾出现交通信号灯漏洞安全问题。近几年,信号灯系统从传统的计数器逐渐变成计算机控制,信号灯控制系统的通讯也以无线的方式连接到管理服务器上。
据安全研究人员的说法,在某些情况下,控制器是互连系统的一部分,并且可以通过射频进行通信。Halderman及其团队发现,可以通过与配置数据库的FTP连接来远程设置控制器。
通过与设备的FTP连接,可以访问可写的配置数据库。这需要用户名和密码,但是它们固定为默认值,这些默认值由制造商在线发布。用户无法修改FTP用户名或密码。由于缺乏加密,任何实现专有协议并了解网络SSID的无线电都可以访问网络。攻击者可以根据需要控制灯光,并根据需要更改颜色。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
18个值得推荐的学习Python和SQL的数据科学平台
数据科学是当今市场上最热门的职业之一。 公司一直在聘用数据科学家,并且总是有很多人试图成为一名科学家。 但是,数据科学的发展不及其他技术学科那么长,因此与软件开发不同的是,没有专门针对数据科学的学习平台来帮助有抱负和经验丰富的科学家培养。 当然有Coursera和Udemy,然后是一些知名品牌平台,例如DataCamp。 然后有十二个或更多个较小的利基平台,旨在以自己的方式培训数据科学家。 我评估了数据科学界人士推荐的18种平台。 根据您的学习风格和需求,这里有一个平台。 本文的前半部分是我对平台的最终评估,最后是平台的完整列表以及所有有助于评估它们的细节。 本文的下半部分详细介绍了我评估平台的方法-了解不同的用户类型,采购平台和要评估的变量。 因此,如果您有时间,请先跳到最后以了解我的评估标准,然后阅读结果。 如果时间紧迫,请转到下一部分。 TL; DR:我的评估 我创建了2个图来映射变量。 它们是带有您在所有白皮书中看到的象限的那些图。 老实说,我为选择这种可视化感到有些ham愧(感觉就像在Excel中制作3D饼图),但是我认为它将使您快速确定最适合您的平台。 图1:学习风格和经验...
- 下一篇
浅谈阿里云自助建站云建站的优点与缺点(阿里云心选建站)
使用阿里云建网站的三种方式购买云服务器手动建站、云速成美站模板建站或者选择阿里云定制建站三种方式,站长分享利用阿里云创建网站的三种方式及优势对比: 阿里云建站方法汇总 使用阿里云建站可以有三种方式,一种是购买ECS云服务器,然后自行手动搭建网站,需要技术门槛;第二种方式是购买阿里云官网云速成美站,使用模板建站,阿里云提供上千套模板,模板建站价格便宜,会打字就会建站;第三种是使用阿里云官方定制建站,需要什么样的网站什么功能,阿里云建站专家提供一对一网站定制。参考下表: 阿里云建站方式 所需产品 优势 适用人群 自助建站 ECS云服务器 自行购买云服务器,手动搭建网站 需要些技术门槛,适用于刚接触云计算或对云服务器和建站不太了解、希望自行设计网站的个人或小企业用户。 模板建站 云·速成美站 使用阿里云提供上千套模板,可视化后台管理,会打字就会建站 适合有一定软件应用能力的个人或小企业用户,模板建站支持Web站点、移动端站点、互动表单以及会员支付多场景。 定制建站 云·企业网站定制和功能定制 由阿里云专业网站设计师完成网站设计及搭建 适合对网站有品质要求或个性化需求、希望节省人力和时间成本的...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS关闭SELinux安全模块
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- MySQL8.0.19开启GTID主从同步CentOS8
- Hadoop3单机部署,实现最简伪集群
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,CentOS8安装Elasticsearch6.8.6