警告！美国紧急警报系统发现严重缺陷

美国政府警告其紧急警报系统 (EAS) 系统中的严重漏洞，如果被利用，可能使入侵者能够通过电视、广播和有线网络发送虚假警报。

美国国土安全部 (DHS) 在一份公告中表示，它最近获悉 EAS 编码器和解码器设备的缺陷，并补充说，网络安全公司 CYBIR 的安全研究员 Ken Pyle 成功利用了这些缺陷。该公告有一种紧迫感，因为下周在拉斯维加斯举行的 DEF CON 会议上，“可能”利用概念验证代码展示了该漏洞利用。

“简而言之，该漏洞是公众知识，将在未来几周内向广大观众展示，”该机构在本周由国土安全部联邦紧急事务管理局 (FEMA) 发布的公告中写道。

DHS 正在敦促运营EAS的组织确保其设备和支持系统使用最新的软件版本和安全补丁进行更新，受防火墙保护并受到监控，并定期审查审计日志以确保没有越权存取。

国土安全部没有透露安全漏洞的确切性质。然而，据报道，Monroe Electronics R189 One-Net DASDEC EAS 设备中存在漏洞，可以远程破坏该设备以发送虚假警报、锁定合法用户并造成其他损害。

EAS 在全国和地方都具有影响深远的能力，尽管它最出名的可能是烦人的定期测试，会大声打断电视和无线电广播。联邦一级的服务由 FEMA 及其合作伙伴运营，包括联邦通信委员会 (FCC) 和国家海洋和大气管理局。

该系统旨在确保总统能够在国家紧急状态期间在 10 分钟内向美国公民发表讲话，并要求广播和电视广播公司、有线电视、无线有线系统、卫星和有线运营商确保这种情况能够发生。

州和地方官员也可以在紧急情况下使用该系统，从极端天气事件到 AMBER 警报。警报通过集成公共警报和警告系统 (IPAWS) 传递。

IPAWS 思考

安全意识培训公司 KnowBe4 的安全意识倡导者 Erich Kron 表示，随着越来越多的系统相互连接，尤其是在如此大规模的情况下，安全行业预计会发现和利用更多此类漏洞。

“在这种影响紧急通知的情况下，很容易认为虚假警报不会造成真正的伤害，”克朗告诉The Register。“然而，历史证明这不是真的。”

他指出2013 年美联社推特账户被接管，当时该账户上的一条虚假推文报道称，白宫发生了两次爆炸，导致奥巴马总统受伤。这条消息引起了人们的恐慌，道琼斯工业平均指数在被转发后暴跌 150 点。

当时的白宫新闻秘书杰伊卡尼迅速向全国保证，没有发生任何事情，奥巴马总统没有受到伤害，股市在最初的推文发布后六分钟内恢复正常。

据报道，支持叙利亚总统巴沙尔·阿萨德的一个自称为叙利亚电子军的组织后来声称对这次袭击负责。

有趣的旁注：叙利亚电子军多年前试图通过向我们的一位记者发送网络钓鱼电子邮件来侵入The Register的本土出版系统。该消息声称来自我们的一位编辑，并且有一个链接到一个页面，该页面看起来就像我们获取用户名和密码的登录过程。

最大的收获是，这封电子邮件太高兴了，以至于那个编辑无法发送它，并且骗局被轰动了。它还促使我们添加多因素身份验证和其他保护措施。

2018 年，夏威夷的弹道导弹警报意外通过电视、广播和手机通过 EAS 和无线 EAS 发布。该警报声称有一枚针对该州的导弹来袭，并敦促居民寻求庇护。克朗说，人们惊慌失措，电话系统超载，高速公路堵塞。

意外警报是夏威夷紧急事务管理局演习期间沟通不畅的结果。

“即使是这样的错误警报也会对现实世界产生影响，至少会消解公众对这些关键系统的信心，”他说。Kron 表示，涉及这些系统的组织应定期修补这些系统，作为正常运营的一部分。

“虽然已知补丁会导致 IT 系统出现问题，但成熟且设计良好的补丁管理程序可以确保任何导致的问题都可以轻松回滚，并且系统保持在线，直到找到问题的缓解措施，”他说. “对于这些系统来说，工作和安全太重要了，不能让它们保持最新的安全补丁。”