|
Ошибка в ПО может позволить хакерам захватить систему экстренного оповещения США
|
|
|
|
Министерство внутренней безопасности США предупреждает, что хакеры могут использовать программную уязвимость в системе оповещения о чрезвычайных ситуациях для отправки ложных предупреждений по радио и телестанциям. «Недавно нам стало известно об определенных уязвимостях в устройствах кодировщика/декодера EAS, которые, если они не будут обновлены до самых последних версий программного обеспечения, могут позволить субъекту выдавать предупреждения EAS через хост-инфраструктуру (телевидение, радио, кабельную сеть)», — говорится в сообщении DHS. Об этом сообщило Федеральное агентство по чрезвычайным ситуациям (FEMA).
|
|
|
|
«Этот эксплойт был успешно продемонстрирован Кеном Пайлом, исследователем безопасности из CYBIR.com, и может быть представлен в качестве доказательства концепции на предстоящей конференции DEFCON 2022 в Лас-Вегасе 11–14 августа». В своем бюллетене федеральное агентство призвало участников EAS убедиться, что: «Устройства EAS и вспомогательные системы обновлены с использованием самых последних версий программного обеспечения и исправлений безопасности; Устройства EAS защищены брандмауэром; Устройства EAS и вспомогательные системы контролируются, а журналы аудита регулярно просматриваются на предмет несанкционированного доступа».
|
|
|
Пайл сказал репортеру Bleeping Computer, что уязвимости находятся в Monroe Electronics R189 One-Net DASDEC EAS, который представляет собой тип кодировщика и декодера системы аварийного оповещения. Это оборудование, которое теле- и радиостанции используют для передачи сигналов тревоги. Исследователь сказал, что «многочисленные уязвимости и проблемы (подтвержденные другими исследователями) не исправлялись в течение нескольких лет и превратились в огромный недостаток».
|
|
|
|
Когда его спросили, что можно сделать после успешной эксплуатации, Пайл сказал Bleeping Computer: «Я могу легко получить доступ к учетным данным, сертификатам, устройствам, использовать веб-сервер, отправлять поддельные предупреждения с помощью сообщений crafts, получать действительные / упреждающие сигналы в будут. Я также могу блокировать законных пользователей, когда я это делаю, нейтрализуя или отключая ответ». Пайл также рассказал об отсутствии информации об этой уязвимости. «Общественная безопасность и кибербезопасность важнее лайков в социальных сетях и сенсаций. Я поступаю правильно, независимо от того, смотрят люди или нет», — добавил Пайл.
|
|
|
|
EAS — это национальная система оповещения населения, которая позволяет президенту или должностным лицам штата и местным властям доводить до граждан важную информацию в случае чрезвычайных ситуаций федерального или местного значения, таких как погодные явления, неминуемые угрозы общественной безопасности или даже оповещения AMBER. Оповещения могут доставляться по нескольким каналам связи одновременно, включая AM, FM и спутниковое радио, а также эфирное, кабельное и спутниковое телевидение, чтобы охватить наибольшее количество людей. Они также могут прерывать телепередачи или отправляться в виде массовых текстовых сообщений. В прошлом федеральные чиновники предупреждали, что хакеры могут использовать EAS, чтобы захватить его в злонамеренных целях.
|
|
|
|
Источник
|
