黑客可以利用美国紧急警报系统的漏洞来伪造警告

这些警报包括通过中断电视和无线电广播来显示或宣布的紧急警告。

美国国土安全部已发布警告，向全国通报该国紧急广播网络紧急警报系统 (EAS) 的严重漏洞。这些漏洞是在未更新的 EAS 编码器/解码器设备中发现的。

如果没有安装最新的固件/软件版本，黑客可以通过“主机基础设施（电视、广播、有线网络）”发出虚假的 EAS 警报。

EAS 是一个国家公共预警系统，可让州当局在确认紧急情况后十分钟内发布信息。在中断电视和无线电广播后发出警报。 

联邦紧急事务管理局 (FEMA) 发布的安全公告

漏洞利用细节

根据国土安全部联邦紧急事务管理局的说法，CYBIR 的安全研究员Ken Pyle证明了该漏洞。Pyle 解释说，这些漏洞是在 Monroe Electronics R189 One-Net DASDEC EAS 中发现的。该设备用于传输紧急警报。如果不打补丁，威胁者很容易发出错误的紧急警报并在公共场合制造混乱。 

成功的利用可以让攻击者访问凭证、设备、证书和 Web 服务器。他们可以利用服务器，通过工艺消息传递虚假警报，并使它们验证/抢占信号。派尔说，他还可以随意锁定合法用户并中和/禁用响应。

Pyle 因发现该漏洞而受到赞誉，但其细节目前处于保密状态，以防止恶意行为者利用这些漏洞。该部门还在警告通知中提到，该漏洞利用将在 DEFCON 2022 会议上以 PoC（概念证明）的形式呈现。该活动将于 8 月 11 日至 14 日在拉斯维加斯举行。 

部门建议相关参与者更新EAS设备并安装最新的软件版本，使用防火墙，并审计/监控审查日志，及时发现未经授权的访问，以减轻威胁。