Buzz
Ôi, biển cả cao quá. Không có gì xung quanh ngoại trừ không khí mặn, nước xa cả dặm, và kết nối web từ vệ tinh. Yên bình và tĩnh lặng. Nhưng các nhà nghiên cứu tại công ty tư vấn an ninh IOActive cho biết các lỗi phần mềm trong các nền tảng mà tàu sử dụng để truy cập internet có thể làm lộ thông tin trên biển. Và những lỗ hổng này chỉ ra những đe dọa lớn đối với cơ sở hạ tầng hàng hải quốc tế.
Một báo cáo được xuất bản vào thứ Năm chỉ ra hai lỗ hổng trong nền tảng web AmosConnect 8, mà tàu sử dụng để giám sát hệ thống IT và điều hướng trong khi cũng hỗ trợ tin nhắn, email và duyệt web cho các thành viên phi hành đoàn. Nếu tấn công vào các sản phẩm AmosConnect, được phát triển bởi công ty Stratos Global của Inmarsat, có thể làm lộ ra nhiều dữ liệu hoạt động và cá nhân, và thậm chí có thể làm suy yếu các hệ thống quan trọng khác trên một chiếc tàu được thiết kế để tách rời.
“Đó là trái cây dễ nhặt,” Mario Ballano, chuyên gia an ninh chính tại IOActive nói về nghiên cứu của mình. “Phần mềm mà họ đang sử dụng thường là cũ 10 đến 15 năm, nó được thiết kế để triển khai một cách cách biệt. Do đó, các phần mềm khác trong những môi trường này có thể mắc phải những lỗ hổng tương tự, vì ngành hàng hải ban đầu không có kết nối qua internet. Nhưng bây giờ mọi thứ đang thay đổi.”
Hai lỗ hổng mà Ballano phát hiện trong AmosConnect 8 không dễ dàng tiếp cận, nhưng sẽ cung cấp quyền truy cập sâu vào hệ thống của một chiếc tàu cho một kẻ tấn công có cổng vào mạng của tàu—có thể thông qua một thiết bị di động bị chiếm đóng mang lên tàu, một chiếc USB bị nhiễm bẩn được sử dụng để trao đổi tài liệu tại cảng, hoặc truy cập vật lý. Lỗ hổng đầu tiên nằm trong biểu mẫu đăng nhập của nền tảng, cho phép kẻ tấn công truy cập vào cơ sở dữ liệu nơi thông tin xác thực được lưu trữ cho phần mềm, tiết lộ tất cả các bộ tên người dùng và mật khẩu. Còn tồi tệ hơn, AmosConnect 8 lưu trữ các cặp thông tin xác thực này dưới dạng văn bản thuần, có nghĩa là kẻ tấn công thậm chí không cần phải phá vỡ một hệ thống mã hóa để sử dụng những gì họ tìm thấy.
Lỗ hổng khác khai thác một tài khoản cửa sau được tích hợp vào mỗi máy chủ AmosConnect có đầy đủ đặc quyền hệ thống, và có thể sử dụng một công cụ gọi là Trình quản lý Nhiệm vụ AmosConnect để thực hiện các lệnh từ xa. Cửa sau được bảo vệ bởi “ID Bưu điện của tàu” (được sử dụng để phối hợp kết nối không dây trên biển, như internet qua vệ tinh) và một mật khẩu. Nhưng Ballano phát hiện rằng mật khẩu có thể tìm thấy vì nó được tạo ra từ ID Bưu điện bằng cách sử dụng một thuật toán đơn giản. Điều này có nghĩa là kẻ tấn công có thể có quyền truy cập từ xa đặc quyền vào các trang cấu hình và cài đặt của Trình quản lý Nhiệm vụ điều khiển toàn bộ nền tảng.
Mạng hàng hải thông thường được thiết kế để cách ly các hệ thống như điều hướng, điều khiển công nghiệp và IT chung—một thực hành an ninh quan trọng. Nhưng với đặc quyền quản trị trên AmosConnect, một kẻ tấn công sẽ có vị trí để kiểm tra lỗ hổng trong cài đặt này.
“Thường các phần khác nhau của mạng của tàu không có nhiều chồng lấp, nhưng phải có một số luồng giao thông để trao đổi dữ liệu tại một số điểm trong mạng,” Ballano nói. “Vì vậy, có khả năng nếu bạn đột nhập vào máy chủ nơi AmosConnect được cài đặt bạn có thể có khả năng truy cập một số mạng khác. Trong trường hợp đó, cuộc tấn công trở nên tồi tệ hơn, vì một kẻ tấn công có thể có khả năng chuyển từ một mạng sang mạng khác.”
IOActive cho biết họ đã liên lạc với Inmarsat về các phát hiện về AmosConnect 8 từ tháng 10 năm 2016. Inmarsat hứa sẽ sửa các lỗi và cũng bắt đầu thông báo cho khách hàng của mình vào tháng 11 năm 2016 rằng họ sẽ ngừng hỗ trợ cho AmosConnect 8 vào tháng 6. Công ty khuyến khích khách hàng hạ cấp xuống một nền tảng cũ hơn, AmosConnect 7. Không rõ liệu điều này có phải là do phát hiện của IOActive hay không.
"Khi IOActive đưa ra thông báo về lỗ hổng tiềm ẩn, vào đầu năm 2017, và mặc dù sản phẩm đã đến cuối vòng đời, Inmarsat đã phát hành một bản vá bảo mật đã được áp dụng cho AC8 để giảm rủi ro tiềm ẩn", Inmarsat nói trong một tuyên bố gửi đến Mytour. "Máy chủ trung tâm của Inmarsat không còn chấp nhận kết nối từ các máy khách email AmosConnect 8, vì vậy khách hàng không thể sử dụng phần mềm này nếu muốn".
Báo cáo lỗ hổng từ Nhóm Phản ứng Khẩn cấp Máy tính về các lỗi này lưu ý rằng "Khai thác thành công lỗ hổng này có thể cho phép một kẻ tấn công từ xa truy cập hoặc ảnh hưởng đến cơ sở dữ liệu email AmosConnect 8 trên các máy tính được cài đặt trên tàu. AmosConnect 8 đã được coi là Hết vòng đời và không còn được hỗ trợ". Trước khi AmosConnect 8 bị vô hiệu hóa, tổ chức phi lợi nhuận Mitre Corporation liệt kê cả hai lỗi với mức "Khả năng khai thác" là "Rất cao".
Hàng ngàn tàu trên khắp thế giới sử dụng nền tảng AmosConnect, và những tàu không chuyển đổi sang phiên bản cũ hơn sẽ tiếp tục tiếp xúc với nguy cơ mãi mãi. Rủi ro có thể kéo dài và phổ biến đó chỉ là một phần của những gì các chuyên gia mô tả là sự thiếu an ninh chung trong kết nối hàng hải. Giống như hạ tầng khác và các hệ thống kiểm soát công nghiệp được phát triển trước sự xuất hiện của internet hoặc trước khi nó được sử dụng phổ biến, ngành công nghiệp hàng hải đang đua nhau triển khai các biện pháp bảo mật toàn diện.
Tháng 6, một cuộc tấn công mạo danh nguy hiểm - không liên quan đến lỗ hổng AmosConnect - đã làm gián đoạn dịch vụ GPS cho khoảng 20 tàu ở Biển Đen. Vào cuối tháng đó, cảng Los Angeles đóng cửa trong vài ngày khi doanh nghiệp thuê đất lớn nhất, công ty vận chuyển Đan Mạch Maersk, bị tấn công ransomware NotPetya. “Cuộc tấn công mạng tháng 6 ảnh hưởng đến cảng Los Angeles đã làm nổi lên những yếu điểm nghiêm trọng trong an ninh hàng hải của chúng ta, và chúng ta phải giải quyết những điểm yếu này trước khi quá muộn”, Nữ Nghị sĩ Norma Torres nói vào thứ Ba khi dự luật an ninh mạng hàng hải mà bà giới thiệu được thông qua Hạ viện.
Pháp luật chắc chắn có thể giúp duy trì mạng lưới trên biển. Nhưng những thay đổi cấu trúc sâu sắc hơn sẽ cần phải đến sớm nếu ngành công nghiệp muốn đối mặt với mối đe dọa mạng nguy hiểm đang phát triển nhanh chóng mà nó không được xây dựng để chống cự.
26 Tháng 10, 2017 10:45 sáng: Bài viết này đã được cập nhật để bao gồm một tuyên bố từ Inmarsat và làm rõ về tính sẵn có của AmosConnect 8.
