美国政府最近的一份审计报告发现,美国联合极地卫星系统(JPSS)的地面控制系统存在大量漏洞,部分漏洞甚至超过了两年。
这些漏洞中,有12703个被标注为高风险。 这次美国政府的审计是针对“重要影响”IT系统进行的安全审计。 审查了JPSS和芬兰语国家极地轨道合作计划的地面控制系统。 JPSS是美国的极地轨道气象卫星,为美国提供气象预测和气候监测的数据。
美国商务部的系统采购和IT安全助理主任Allen Crawley披露,他们的审计在NASA和国家海洋与大气管理局(NOAA)的地面控制系统中发现了大量令人震惊的漏洞。 “这些系统基本没有完全部署安全控制, 系统中存在很多高风险漏洞。 JPSS的地面控制系统软件中存在不少已知的漏洞,针对这些漏洞的攻击工具从互联网就可以获得。”
审计人员发现, 从2012年起, 系统中的高风险漏洞的数量增加了三分之二, 高风险漏洞是那些黑客相对容易攻击, 并且攻击会造成对重要气象预报和气候监测数据的重要破坏的漏洞。
而且,审计人员发现,从2012年到2013年,地面控制站仅仅部署了美国国家标准与技术研究院所要求的安全控制点的四分之一。 更糟糕的是, 大部分的安全漏洞在两年内不能得到解决, 尽管根据要求,高风险漏洞必须在发现后一个月内得到解决。
从过去来看,补丁一般需要14个月才能打好,而对于从渗透测试发现的漏洞,则需要超过一年才能解决。 JPSS地面站的管理团队说在差不多2011年, IT维护基本停滞。
审计人员发现, 这些旧的安全漏洞包括超过9100个高风险的没有补丁的漏洞。 错误的配置,以及不必要的操作系统和软件的权限。 有3600个密码及审计设置不符合JPSS的规定。 而有3个在2012年渗透测试中发现的漏洞至今依然存在。而根据审计报告的结论,这些漏洞的解决仅仅需要对地面控制系统做出少量修改就可完成。
这些地面控制系统的漏洞可能导致NOAA对气象卫星的命令与控制失效。 而NOAA在员工BYOD设备的管理方面也被发现存在大量漏洞。
