|
参考消息网12月13日报道 据德国《慕尼黑信使报》网站12月9日报道,防止未经授权访问美国国家航空航天局(NASA)太空探测器的安全代码本身,恰恰存在一个严重的安全漏洞。从2022年9月到2025年9月,在长达三年的时间里,名为CryptoLib的软件中始终存在一个漏洞,攻击者理论上可通过该漏洞,来控制那些为价值数亿美元的火星探测器、卫星及其他太空任务提供通信安全保障的系统。
该漏洞由安全公司AISLE发现,并被定为高危级别。该公司报告指出:“用于保护NASA航天器与地球之间通信的CryptoLib软件中存在一个严重的安全漏洞,它在本应保护系统的身份验证代码中潜伏了三年未被发现。”CryptoLib并非小众软件,它不仅应用于NASA任务,更广泛用于整个航天工业。
当火星探测器向地球发回图像或数据、地球观测卫星传输气候数据,或航天器乘组与地面控制中心通信时,CryptoLib便发挥作用。该软件能确保数据的真实性并防止其被篡改。
问题在于,该软件未能对某些输入进行充分验证。攻击者可能通过被篡改的用户名或文件路径植入恶意代码。AISLE报告通过一个示例演示了这一点:一个伪造的用户名不仅能完成正常登录,还能同时执行恶意指令,例如下载恶意软件或删除重要文件。
该漏洞由NASA喷气推进实验室的一名开发人员于2022年9月15日引入,但并非出于恶意,而是为了开发一项新安全功能。这段有缺陷的代码通过了常规审查和所有测试,并被发布在多个软件版本中。即使在2023年4月的一次重大架构重组中,这个漏洞也未被发现。它总共隐藏了1100天,即超过三年未被发现。
当AISLE于2025年9月19日报告此漏洞时,NASA反应极为迅速。一名员工在数小时内就给出了解决方案建议。AISLE报告称赞道:“从接到报告到提出解决方案的时间,是以小时数而非天数来计算的。”9月22日发布修正版本;9月23日发布公开警告。该技术解决方案用安全方法替换了不安全的代码,并设置了额外的安全检查。
此次事件表明,即使是维护良好的NASA软件,关键漏洞也可能潜伏多年未被察觉。漏洞潜伏三年未被发现与仅用四天就完成修复之间的鲜明对比,尤其引人关注。AISLE在报告中总结道:“即使是安全代码,也可能不安全。”展望未来,该事件凸显了持续自动化安全分析的重要性,尤其是对于那些保护太空和地球关键基础设施的软件而言。因为下一个漏洞可能已经潜伏在代码中。
(编译/焦宇)
| 
发表于 2025-12-14 15:28