今年,波音737 Max软件质量缺陷事件跌宕起伏(曝光多项安全漏洞,其中一个漏洞可致飞机在飞行时不断失控俯冲),几经反转之后发生了戏剧性的变化,这让网络安全从业人员对航空航天软件安全性有了全新的看法和审视的思路。
今年的BLACK HAT USA 大会上,来自IOActive研究团队的Ruben Santamarta将就787核心网络的运作原理及其中的未知漏洞发表公开演讲。据悉,去年秋天,Ruben Santamarta成功发现了一个公开暴露在互联网上的波音公司服务器,该服务器主要为航空制造商的787和737飞机网络提供固件规范。
好奇心驱动的Santamarta深入挖掘了波音公司高度网络化的787客机的固件,他精心地逆向工程了二进制代码并分析了配置文件,结果成功发现了其中存在的多个安全漏洞,这些漏洞可能会允许攻击者远程访问飞机上的敏感航空电子网络(也称为“机组信息系统网络”)。
事实证明,我当时正在分析的固件属于波音787客机网络中的核心网络组件,且其中充斥着各种缓冲区溢出、内存破坏、堆栈溢出和拒绝服务漏洞,攻击者可以利用这些漏洞远程访问飞机上敏感的机组信息系统网络模块。
根据调查结果显示,Santamarta发现的这个存在漏洞的固件——来自霍尼韦尔(Honeywell)的基于VxWorks 6.2的系统(被称为787的机组信息系统文件服务器/维护系统模块)——可能会被远程攻击者滥用以获取对该系统的控制权。
对于这一结果,波音公司却认为,其网络防御机制能够阻止IOActive提出的攻击场景,并表示攻击者根本无法通过这些方法到达其航空电子系统。
波音公司发言人表示,IOActive展示的攻击场景不会影响任何关键或重要的飞机系统,也没有描述远程攻击者访问航空电子系统等重要系统的方法。在与IOActive合作了解其研究后,波音及其合作伙伴已经在虚拟的实验环境和现实的飞机系统环境中进行了综合测试,结果证实,787网络中现有的防御措施可以成功阻止IOActive所描述的攻击场景。
与此同时,IOActive却表示波音公司错误地理解了Santamarta调查结果的研究过程和内容。其战略安全服务主管John Sheehy表示,“我们已经并且将非常清楚地说明我们在这项研究中的权限限制。我们相信这些限制在我们的白皮书中已经得到了清楚地描述,即便是非专业人士也能够理解。”
Santamarta是在实验室环境中进行了他的研究,并指出由于没有访问真实的787客机网络环境,所以这些漏洞对航空电子系统的最终影响尚不清楚。即便如此,利用固件的攻击者仍然有能力绕过网络上的安全控制措施并最终到达航空电子网络。然后,攻击者就可以执行例如更新航空电子系统固件之类的操作。
我们不知道这些航空电子设备组件是否经过了加密或数字签名亦或其他验证形式的保护,所以我们不知道攻击者是否真的可以影响这些关键组件的功能或状态。此外,我们也不知道攻击者具体可以实践哪些操作,因为我们没有办法对现实的航空电子硬件进行测试。
波音787客机具有机载核心网络机柜系统,其包含多个网络模块,这些模块在敏感航空电子网络、乘客信息和机载娱乐系统以及工程师、机组人员和航空公司员工所使用的飞机维护系统之间隔离并提供网络接口。
此外,波音公司的787型号客机还配备了各种通信渠道,包括卫星设备和无线连接(当飞机降落时用于连接GateLink——一个下载飞机抵达信息的航空网络);这种无线连接也被航空公司或供应商用于将固件更新推送到飞机的网络组件中。此外,当这些飞机停放在机场时,还会有一个用于维护操作的有线端口。
Santamarta表示,攻击者可以通过互联网或其他链接至飞机的网络——例如将飞机连接到航空公司无线网络中的无线终端等——实现入侵飞机内部网络的操作。
另一种可能的攻击方式是,攻击者可能会通过运行恶意测试或向维护工程师提供有关系统功能的错误信息来破坏维护系统。
除此之外,Santamarta还曝光了两起案例,发现一些用于与波音787客机进行通信的代理服务器暴露在公开网络上,黑客可能借此机会攻击这些服务器,从而进入飞机内部网络。
但Santamarta反复强调称,他没有对787客机进行任何现场测试:他的所有研究都是在实验室环境中进行的。
我们对这些系统和网络进行了分析发现这些机场网络暴露在互联网上,但是在更高的层面上,我们并没有进行任何积极的测试。
根据Santamarta的说法,固件问题的核心是霍尼韦尔(Honeywell)固件基于的是未经航空电子设备认证的VxWorks版本,这使得系统非常容易受到用于攻击敏感航空电子系统的漏洞的影响。
由于没有实际地对787客机进行相关测试验证,所以目前无法确定这些漏洞究竟会造成多大的风险和破坏性。但可以肯定的是,这些漏洞可以被利用,但是攻击者具体可以利用这些漏洞执行什么操作却是未知的。
IOActive公司的Sheehy帮助协调了与波音公司的固件漏洞披露流程,他说,在得知IOActive研究人员发现了其公开在线的服务器24小时内,该公司就已经移除了所有暴露的固件文件。在Santamarta确认波音网络上的霍尼韦尔设备存在问题后,IOActive立即与供应商合作并解决了该漏洞问题。Sheehy表示,事情出现后,IOActive、波音公司、以及霍尼韦尔每周都会针对这些问题进行讨论。
但波音公司对IOActive的研究结论提出了质疑。
波音公司在一份公开声明中表示,“IOActive仅使用基本工具审查了787网络的一部分,并没有访问更大的系统或工作环境。IOActive选择在其研究中忽略我们经过验证的结果和限制因素,而是做出具有挑衅性的陈述,好像他们已经访问并分析了我们的工作系统一样。虽然我们非常感谢独立网络安全研究人员的负责人参与,但我们对IOActive不负责任的演示感到失望。”
波音787核心网络安全控制措施包括核心网络的以太网网关模块中的IP表过滤机制,其中不同的规则可以确定哪些流量是从开放数据网络传输到内部数据网络中的。Santamarta表示,该飞机还运行基于VxWorks库的防火墙数据包过滤功能,并在网络接口模块中采用有助于隔离网络的系统规则。
根据Santamarta的说法,波音和霍尼韦尔都证实了787固件中存在缺陷的事实。然而,波音公司并没有与IOActive分享他们在测试中使用的CIS / MS固件的版本,尽管IOActive曾多次请求波音方面提供这些信息。所以,严格意义上看,目前正在生产的所有787客机都包含漏洞,但波音否认这些漏洞是可利用的。
波音787“梦幻客机”是波音公司最新型号的广体中型客机,于2009年12月15日进行首次测试飞行;2011年投入服务;2013年1月16日,由于连续出现安全故障,美国联邦航空局宣布暂时停飞所有波音787“梦幻客机”。2013年4月25日,美国联邦航空局同意修改后的波音787客机恢复飞行,但制造质量控制和安全问题始终是困扰其发展的重要因素,不过尽管如此,其仍然是目前最具电子功能和联网能力的飞机之一。
2008年,当波音开发“梦幻客机”进入最后阶段时,美国联邦航空管理局(FAA)就曾直接发布警告称,波音公司的新型787梦想客机可能会包含严重的安全漏洞,它自身携带的计算机网络没有有效的隔离措施,旅客可能会进入这架飞机的控制系统。
2012年,剑桥大学的两名专家发现波音787客机中所用的一种计算机芯片的“后门”,它存在使芯片被网络黑客利用的风险。黑客能够破坏芯片的所有安全结构,然后重新设置密码和快捷键等,或者永久破坏该装置。
2015年,美国联邦航空管理局(FAA)再次发出警报称,波音787“梦幻客机”系统中存在一个安全漏洞,该漏洞可导致飞行过程中突然关闭波音787所有电力供应,最终将导致飞机失控。如果飞机在半空飞行、攀升或下降过程中发生这种故障,那么将很可能会导致一场空难。
Ruben Santamarta在2019年黑帽大会上的ppt:
https://i.blackhat.com/USA-19/Wednesday/us-19-Santamarta-Arm-IDA-And-Cross-Check-Reversing-The-787-Core-Network.pdf