滑雪纜車控制系統存XSS漏洞景區緊急關停

兩名來自 IT 安全機構 InternetWache.org 的研究人員 Tim Philipp Sch?fers 與 Sebastian Neef 2018年3月中旬掃描網絡上含有漏洞的系統時發現，奧地利因斯布魯克市（Innsbruck）的滑雪纜車控制面板暴露在網上，任何人均可控制纜車的操作設置，該滑雪場因此緊急關閉纜車設施。

存在跨站腳本（XSS）漏洞 存在安全漏洞的系統是由全球知名纜車制造商 Doppelmayr 開發，這兩名研究人員指出，他們不但可直接在網絡上搜索纜車的控制系統，且無需認證就可直接登錄，所執行的指令也沒有加密，該網頁還含有跨站腳本（XSS）執行漏洞。 由于存在這些漏洞，研究人員可輕易地從遠程控制纜車的啟動、停止、改變纜車方向，甚至是變更纜車之間的安全距離；不過，他們擔心違法與危險性，并沒有真的按下控制接口上的按鍵。 該滑雪纜車系統是在2017年才啟用，每小時可運送2000名滑雪客到山頂，但只在夏天開放。在研究人員向纜車制造商與奧地利計算機應急響應小組（Austria CERT）通報之后，Doppelmayr 已修復相關漏洞，而因斯布魯克的官員也要求運營者在夏季的游客涌進以前必須做好安全準備。 任何人均可操縱滑雪纜車安全設置 2018年3月16日，研究人員 Sch?fers 和 Neef 發現了控制 Patscherkofelbahn 滑雪纜車（連接伊格利斯村和 Patscherkofel 山區度假村）的人機界面 （HMI）。隨后讓他們感到驚訝的是，竟然不存在阻止互聯網用戶訪問以及和 HMI 面板交互的登錄界面。 所有用于控制滑雪纜車速度、纜車距離以及繩索拉力的設置連同日志和其它數據都被暴露在互聯網上。 這兩名研究員立即將問題告知奧地利 CERT，后者隨后向因斯布魯克相關機構發出警告信息。盡管并不存在設置遭惡意使用的證據，但因斯布魯克決定關閉 Patscherkofelbahn 整個滑雪纜車并開展安全審計。 在同一天，NBC 報道稱格魯吉亞 Gudauri 某滑雪勝地的滑雪纜車出現機械故障，這則消息得到了在滑雪愛好者中得到病毒式的傳播。而巧合并不僅限于此， Patscherkofelbahn 和 Gudauri 滑雪纜車均來自同一個供應商及奧地利公司 Doppelmayr。

控制面板運行過時固件 研究人員Sch?fers 表示，過去幾次在互聯網上掃描 HMI 及具體的供應商信息曾留意供應商 Doppelmayr Garaventa 的信息，原因在于他此前在其早先的 HMI 軟件中曾找到 HTTP 頭部注入和跨站腳本漏洞。他表示當時將問題告知供應商后，后者予以修復。他還指出，Patscherkofelbahn 滑雪纜車運行 HMI 軟件的老舊版本，仍然易受他通報的漏洞影響。 另外，研究人員指出滑雪纜車控制面板還使用了未加密的 HTTP 連接。 聯網敏感設備暴露嚴重 研究人員表示在發現問題時考慮到乘客的安危，他們并未和滑雪纜車的控制面板進行交互，而是立即將問題告知奧地利應急響應小組。奧地利計算機應急響應小組指出，所有的這些問題均已更正，因斯布魯克市正在謹慎地推出安全系統，以迎接夏季的大批游客。 Sch?fers 和 Neef 表示將會持續在網上掃描未受保護的系統。 Sch?fers 表示掃描的過程就像在干草堆里撿針，過程非常有趣。他們過去還找到了一家診所的建筑控制面板、德國汽車交通信號燈的控制面板、全球風力發電場的控制面板以及德國的三座水廠。他們可以直接控制工控系統并可關閉為成千上萬人服務的供水系統或造成其它損失。 來源：E安全