美國政府最近的一份審計(jì)報(bào)告發(fā)現(xiàn)，美國聯(lián)合極地衛(wèi)星系統(tǒng)(JPSS)的地面控制系統(tǒng)存在大量漏洞，部分漏洞甚至超過了兩年。

[[120116]]

這些漏洞中，有12703個(gè)被標(biāo)注為高風(fēng)險(xiǎn)。 這次美國政府的審計(jì)是針對(duì)“重要影響”IT系統(tǒng)進(jìn)行的安全審計(jì)。 審查了JPSS和芬蘭語國家極地軌道合作計(jì)劃的地面控制系統(tǒng)。 JPSS是美國的極地軌道氣象衛(wèi)星，為美國提供氣象預(yù)測(cè)和氣候監(jiān)測(cè)的數(shù)據(jù)。

美國商務(wù)部的系統(tǒng)采購和IT安全助理主任Allen Crawley披露，他們的審計(jì)在NASA和國家海洋與大氣管理局(NOAA)的地面控制系統(tǒng)中發(fā)現(xiàn)了大量令人震驚的漏洞。 “這些系統(tǒng)基本沒有完全部署安全控制， 系統(tǒng)中存在很多高風(fēng)險(xiǎn)漏洞。 JPSS的地面控制系統(tǒng)軟件中存在不少已知的漏洞，針對(duì)這些漏洞的攻擊工具從互聯(lián)網(wǎng)就可以獲得。”

審計(jì)人員發(fā)現(xiàn)， 從2012年起， 系統(tǒng)中的高風(fēng)險(xiǎn)漏洞的數(shù)量增加了三分之二， 高風(fēng)險(xiǎn)漏洞是那些黑客相對(duì)容易攻擊， 并且攻擊會(huì)造成對(duì)重要?dú)庀箢A(yù)報(bào)和氣候監(jiān)測(cè)數(shù)據(jù)的重要破壞的漏洞。

而且，審計(jì)人員發(fā)現(xiàn)，從2012年到2013年，地面控制站僅僅部署了美國國家標(biāo)準(zhǔn)與技術(shù)研究院所要求的安全控制點(diǎn)的四分之一。 更糟糕的是， 大部分的安全漏洞在兩年內(nèi)不能得到解決， 盡管根據(jù)要求，高風(fēng)險(xiǎn)漏洞必須在發(fā)現(xiàn)后一個(gè)月內(nèi)得到解決。

從過去來看，補(bǔ)丁一般需要14個(gè)月才能打好，而對(duì)于從滲透測(cè)試發(fā)現(xiàn)的漏洞，則需要超過一年才能解決。 JPSS地面站的管理團(tuán)隊(duì)說在差不多2011年， IT維護(hù)基本停滯。

審計(jì)人員發(fā)現(xiàn)， 這些舊的安全漏洞包括超過9100個(gè)高風(fēng)險(xiǎn)的沒有補(bǔ)丁的漏洞。 錯(cuò)誤的配置，以及不必要的操作系統(tǒng)和軟件的權(quán)限。 有3600個(gè)密碼及審計(jì)設(shè)置不符合JPSS的規(guī)定。 而有3個(gè)在2012年滲透測(cè)試中發(fā)現(xiàn)的漏洞至今依然存在。而根據(jù)審計(jì)報(bào)告的結(jié)論，這些漏洞的解決僅僅需要對(duì)地面控制系統(tǒng)做出少量修改就可完成。

這些地面控制系統(tǒng)的漏洞可能導(dǎo)致NOAA對(duì)氣象衛(wèi)星的命令與控制失效。 而NOAA在員工BYOD設(shè)備的管理方面也被發(fā)現(xiàn)存在大量漏洞。

原文地址：http://www.aqniu.com/security-reports/4493.html