一位网络安全研究人员刚刚暴露了一个漏洞,黑客可以通过这个漏洞劫持交通信号灯并操纵灯光模式,从而引发巨大的交通堵塞。考虑到黑客以美国本土和其他国家的公共设施为目标的报告正在增加,这一点令人担忧。
来自 Red Threat 的安德鲁-莱蒙(Andrew Lemon)在上周发表的两篇博文中披露了他的发现。作为一个大型研究项目的一部分,他一直在挖掘交通控制系统中的潜在漏洞。其中一个引起他注意的设备是 Intelight X-1 控制器。
尽管控制器是国家关键基础设施的一部分,但它在未经身份验证的情况下被暴露在互联网上。通过访问特定 URL,研究人员可以绕过身份验证,在不登录的情况下修改设置,包括禁用网络安全。这个漏洞可以让未经授权的人完全控制交通灯序列,使他们能够通过操纵灯光模式故意造成交通堵塞。
他说,虽然莱蒙不可能真的把每个灯都变成绿灯,但这个错误几乎可以让任何人都能覆盖信号灯的计时。将一个方向设置为三分钟,另一个方向设置为三秒,很容易造成交通噩梦。正如他所说,"这是物理世界中的拒绝服务"。
莱蒙和他的团队发现了大约 30 个存在漏洞的 Intelight 盒子,但这很可能只是冰山一角。他说,当他试图向 Q-Free(Intelight 的母公司)披露这个问题时,他们的回应是"法律威胁和一切"。
Q-Free 的法律顾问在一封信中声称,查看该设备可能违反了反黑客法。他们还警告说,公布漏洞细节可能会"鼓励对基础设施的攻击,并给 Red Threat 带来相关责任"。
Q-Free 发言人在辩解时称,受影响的 Intelight 控制器已停产近 10 年。不过,他们承认有些产品可能仍在使用,并鼓励客户联系他们寻求指导。
但 Intelight 并不是 Lemon 唯一的发现。他的研究还发现,Econolite 公司的交通控制器很容易受到一种名为 NTCIP 协议的攻击。黑客利用这些连接到互联网的设备,可以改变灯光闪烁的方式,或迫使整个十字路口同时闪烁。
莱蒙的发现似乎证实了一个令人不安的趋势:网络漏洞正在渗透到控制美国街道和公路的基础设施中。今年 3 月,白宫就全国饮用水和废水处理系统遭受网络攻击发出警告。
本月发布的一份报告强调,针对 14 个国家和 15 个行业的关键国家基础设施组织的勒索软件攻击也在增加,勒索金额的中位数在一年内增加了 41 倍之多。