警告！美國緊急警報系統發現嚴重缺陷

美國政府警告其緊急警報系統 (EAS) 系統中的嚴重漏洞，如果被利用，可能使入侵者能夠通過電視、廣播和有線網絡發送虛假警報。

美國國土安全部 (DHS) 在一份公告中表示，它最近獲悉 EAS 編碼器和解碼器設備的缺陷，并補充說，網絡安全公司 CYBIR 的安全研究員 Ken Pyle 成功利用了這些缺陷。該公告有一種緊迫感，因為下周在拉斯維加斯舉行的 DEF CON 會議上，“可能”利用概念驗證代碼展示了該漏洞利用。

“簡而言之，該漏洞是公眾知識，將在未來幾周內向廣大觀眾展示，”該機構在本周由國土安全部聯邦緊急事務管理局 (FEMA) 發布的公告中寫道。

DHS 正在敦促運營EAS的組織確保其設備和支持系統使用最新的軟件版本和安全補丁進行更新，受防火墻保護并受到監控，并定期審查審計日志以確保沒有越權存取。

國土安全部沒有透露安全漏洞的確切性質。然而，據報道，Monroe Electronics R189 One-Net DASDEC EAS 設備中存在漏洞，可以遠程破壞該設備以發送虛假警報、鎖定合法用戶并造成其他損害。

EAS 在全國和地方都具有影響深遠的能力，盡管它最出名的可能是煩人的定期測試，會大聲打斷電視和無線電廣播。聯邦一級的服務由 FEMA 及其合作伙伴運營，包括聯邦通信委員會 (FCC) 和國家海洋和大氣管理局。

該系統旨在確保總統能夠在國家緊急狀態期間在 10 分鐘內向美國公民發表講話，并要求廣播和電視廣播公司、有線電視、無線有線系統、衛星和有線運營商確保這種情況能夠發生。

州和地方官員也可以在緊急情況下使用該系統，從極端天氣事件到 AMBER 警報。警報通過集成公共警報和警告系統 (IPAWS) 傳遞。

IPAWS 思考

安全意識培訓公司 KnowBe4 的安全意識倡導者 Erich Kron 表示，隨著越來越多的系統相互連接，尤其是在如此大規模的情況下，安全行業預計會發現和利用更多此類漏洞。

“在這種影響緊急通知的情況下，很容易認為虛假警報不會造成真正的傷害，”克朗告訴The Register。“然而，歷史證明這不是真的。”

他指出2013 年美聯社推特賬戶被接管，當時該賬戶上的一條虛假推文報道稱，白宮發生了兩次爆炸，導致奧巴馬總統受傷。這條消息引起了人們的恐慌，道瓊斯工業平均指數在被轉發后暴跌 150 點。

當時的白宮新聞秘書杰伊卡尼迅速向全國保證，沒有發生任何事情，奧巴馬總統沒有受到傷害，股市在最初的推文發布后六分鐘內恢復正常。

據報道，支持敘利亞總統巴沙爾·阿薩德的一個自稱為敘利亞電子軍的組織后來聲稱對這次襲擊負責。

有趣的旁注：敘利亞電子軍多年前試圖通過向我們的一位記者發送網絡釣魚電子郵件來侵入The Register的本土出版系統。該消息聲稱來自我們的一位編輯，并且有一個鏈接到一個頁面，該頁面看起來就像我們獲取用戶名和密碼的登錄過程。

最大的收獲是，這封電子郵件太高興了，以至于那個編輯無法發送它，并且騙局被轟動了。它還促使我們添加多因素身份驗證和其他保護措施。

2018 年，夏威夷的彈道導彈警報意外通過電視、廣播和手機通過 EAS 和無線 EAS 發布。該警報聲稱有一枚針對該州的導彈來襲，并敦促居民尋求庇護。克朗說，人們驚慌失措，電話系統超載，高速公路堵塞。

意外警報是夏威夷緊急事務管理局演習期間溝通不暢的結果。

“即使是這樣的錯誤警報也會對現實世界產生影響，至少會消解公眾對這些關鍵系統的信心，”他說。Kron 表示，涉及這些系統的組織應定期修補這些系統，作為正常運營的一部分。

“雖然已知補丁會導致 IT 系統出現問題，但成熟且設計良好的補丁管理程序可以確保任何導致的問題都可以輕松回滾，并且系統保持在線，直到找到問題的緩解措施，”他說. “對于這些系統來說，工作和安全太重要了，不能讓它們保持最新的安全補丁。”