黑客可以利用美國緊急警報系統的漏洞來偽造警告

這些警報包括通過中斷電視和無線電廣播來顯示或宣布的緊急警告。

美國國土安全部已發布警告，向全國通報該國緊急廣播網絡緊急警報系統 (EAS) 的嚴重漏洞。這些漏洞是在未更新的 EAS 編碼器/解碼器設備中發現的。

如果沒有安裝最新的固件/軟件版本，黑客可以通過“主機基礎設施（電視、廣播、有線網絡）”發出虛假的 EAS 警報。

EAS 是一個國家公共預警系統，可讓州當局在確認緊急情況后十分鐘內發布信息。在中斷電視和無線電廣播后發出警報。 

聯邦緊急事務管理局 (FEMA) 發布的安全公告

漏洞利用細節

根據國土安全部聯邦緊急事務管理局的說法，CYBIR 的安全研究員Ken Pyle證明了該漏洞。Pyle 解釋說，這些漏洞是在 Monroe Electronics R189 One-Net DASDEC EAS 中發現的。該設備用于傳輸緊急警報。如果不打補丁，威脅者很容易發出錯誤的緊急警報并在公共場合制造混亂。 

成功的利用可以讓攻擊者訪問憑證、設備、證書和 Web 服務器。他們可以利用服務器，通過工藝消息傳遞虛假警報，并使它們驗證/搶占信號。派爾說，他還可以隨意鎖定合法用戶并中和/禁用響應。

Pyle 因發現該漏洞而受到贊譽，但其細節目前處于保密狀態，以防止惡意行為者利用這些漏洞。該部門還在警告通知中提到，該漏洞利用將在 DEFCON 2022 會議上以 PoC（概念證明）的形式呈現。該活動將于 8 月 11 日至 14 日在拉斯維加斯舉行。 

部門建議相關參與者更新EAS設備并安裝最新的軟件版本，使用防火墻，并審計/監控審查日志，及時發現未經授權的訪問，以減輕威脅。