航空航天Safran Group公司泄露敏感数据
根据Cybernews的研究,顶级航空公司Safran Group让自己容易受到网络攻击,可能持续了一年多,这突显了大型航空公司对威胁行为者的脆弱性。
Cybernews研究团队最近发现,这家总部位于法国的跨国航空公司是全球第八大航空航天供应商,由于其系统配置错误,正在泄露敏感数据。该漏洞使公司在很长一段时间内面临网络攻击的风险。
根据自己的估计,赛峰集团2022年的收入将超过190亿欧元。它与仅次于波音的全球第二大航空航天公司空中客车公司合作制造航空航天设备。
赛峰集团还参与开发航空以外的尖端技术,例如目前在世界上最大的太空光学望远镜詹姆斯韦伯望远镜中使用的模块。此外,该公司还生产地对空防御系统和导弹。
Cybernews就研究人员发现的泄漏问题联系了Safran Group,在撰写本文时,错误配置已得到修复。
发现
研究人员发现了开源视频通话应用程序Jitsi Meet的测试版部署使用的公开环境文件。Cybernews团队估计该文件公开了大约一年半的时间,使赛峰集团在这段时间内容易受到潜在攻击。
泄露的敏感信息包括Laravel应用程序密钥、JSON Web令牌 (JWT) 密钥、MySQL凭据和“无回复”电子邮件的简单邮件传输协议(SMTP)凭据。
Cybernews研究人员强调,这些密钥和凭据的暴露可能使攻击者相对容易地访问网站后端、员工计算机和其他服务器。
Laravel应用程序密钥是一个令牌,有助于保持用户浏览器cookie的安全。如果威胁参与者知道此令牌,他们可以使用它来解密cookie,其中可能包含会话ID。了解它们后,威胁行为者就可以劫持会话,从而劫持帐户。
泄漏还包括JWT密钥,这是另一种类型的令牌,通常用于身份验证。这些令牌既可以用于用户,也可以用于管理员。如果攻击者可以访问此密钥,他们就可以创建一个管理员帐户并拥有访问网站的特权。
“JWT 密钥用于生成和验证该站点上使用的JWT令牌,”Cybernews 研究员Aras Nazarovas补充道。
威胁行为者还可能使用管理员帐户植入网络外壳——使他们能够破坏网络服务器并发起额外攻击的恶意脚本。
泄露的 MySQL 数据库登录名可用于进入存储在同一服务器上的公司数据库并窃取信息。如果黑客控制了Safran Group的系统,他们就可以四处走动并访问机密文件,甚至损坏他们的设备。
如果威胁行为者获得了SMTP凭证的访问权限,他们就可以使用它们发送电子邮件来诱骗人们泄露敏感信息。这些电子邮件从所有意图和目的来看都是合法的,因为它们是从公司的服务器发送的。
Nazarovas强调说,这可能会对其他航空公司产生负面影响。
他说:“其他航空公司会期望收到这封电子邮件中的信息,并将成为此次攻击的主要目标,因为他们之前可能使用过视频会议应用程序,用于与赛峰集团员工会面。”
网络新闻研究人员建议该公司迅速采取行动,通过更改泄露的凭据来降低风险并防止未来的违规行为。确保泄漏的密钥具有更长的位长并使用安全加密/哈希算法进行编码至关重要。
此外,公司应考虑是否需要通过互联网或仅通过VPN访问该平台,这将提供额外的安全层。
敏感的基础设施是一个诱人的目标
由于赛峰集团在航空供应链中的地位,公司与使用其产品的飞机制造商之间只有一跳,供应链攻击可能会产生深远的影响,给公司及其客户带来风险航空业。
由于该公司正在开发尖端技术,它是高级持续威胁(APT)组织的重要目标,这些组织通常与民族国家或国家支持的组织有关联,并受政治或经济动机的驱动。
赛峰集团已经成为威胁行为者的目标。正如2011年报道的那样,该公司成为两次网络攻击的受害者,这些攻击被怀疑是间谍活动的一部分。
据称,身份不明的黑客在2009年至2010年期间试图绘制该公司的计算机系统图。虽然没有严重的间谍活动报告,但政府官员证实有人试图这样做。
据信,2018年,赛峰集团的内部网络遭受了网络攻击。根据美国政府和媒体当时的报道,据信与中国国家安全部有联系的黑客与一家公司中国办事处的六名黑客和两名内部人士合作,窃取喷气发动机蓝图。
虽然当局没有具体点名赛峰集团,但有关该事件的媒体报道称,他们认为“几乎可以肯定”这是间谍活动的目标。
航空业的艰难时期
航空业今年开局不利。1月,负责通知飞行员和航空公司潜在危险的警报系统出现故障,导致全美国内航班暂时停飞。一些媒体消息称,有超过7,800个航班被延误,1,200个被取消,而其他人则声称总共有多达11,000个航班被中断。
同月,一份包含约150万条条目的FBI“禁飞”名单从CommuteAir航空公司未受保护的服务器中泄露。 2月14日,斯堪的纳维亚航空公司(SAS)遭受网络攻击,导致该航空公司的网站和移动应用程序离线数小时,Anonymous Sudan对此次攻击负责。
航空业因其关键的基础设施而被认为是网络犯罪分子的主要目标。近年来,专家们发现针对该行业的网络攻击大幅增加,据报道该行业每周都会遭受勒索软件攻击。
越来越多的国家支持和有组织的犯罪集团能够进行大规模的有针对性的入侵,以扰乱运营并窃取宝贵的知识产权。
航空业日益关注的网络安全问题
ISN技术和基础设施副总裁Ghousuddin Syed称,航空业和其他关键基础设施领域的数据泄露平均成本“比其他行业高出约 100万美元”。“每年,我们都会看到差异在航空网络攻击媒介的分布中。到 2022 年,勒索软件是困扰该行业的最突出的网络攻击形式,占攻击总数的30%多一点,”Syed说,并指出相比之下,其他行业的趋势似乎正在逆转。
“与2021年相比,2022年所有行业的勒索软件事件总量下降了23%,”他说。
除了窃取数据或金钱外,攻击者还可能旨在制造混乱和破坏。更改乘客名单、飞行表和航线或行李库存可能会扰乱航空公司的运营并损害其声誉。2022年,许多机场网站成为因俄乌冲突引发的分布式拒绝服务(DDoS)攻击活动的目标。
网络安全公司 CYE的CTI负责人 Lionel Sigal告诉Cybernews,虽然大多数航空公司网络没有直接连接到飞机系统,但不能排除飞机受到攻击的可能性。如果成功攻击与飞机相连的网络,黑客可能会改变飞行路线、劫持飞机,甚至坠毁飞机。“机场和航空公司是各种行为者攻击的诱人目标,从罪犯到国家特工和超级大国,这使攻击者能够获得影响力、经济、心理和财务收益,”Sigal说。
GreyNoise Intelligence数据科学副总裁Bob Rudis告诉Cybernews,有组织的犯罪和“出于经济动机的机会主义攻击者”通常没有动机进行此类有害攻击,因为“没有人得到报酬”。
然而,民族国家或意识形态团体更有可能开展此类运动。也就是说,迄今为止,这种可能性并未引起太多关注。
“我们没有公开数据表明与朝鲜、伊朗和俄罗斯等可能有恶意的民族国家结盟的团体是否成功地对实际航班、行业结盟的制造商和供应链造成了负面影响,”说鲁迪斯。
但他补充说,勒索软件和DDoS攻击、垃圾邮件、网络钓鱼、黑客攻击、欺诈以及人为错误造成的网络事件等持续发生的网络事件预计将继续发生。
“后果将与我们目前看到的类似,”Rudis说。
考虑到网络攻击会随着时间的推移而演变,Syed强调所有行业,尤其是那些被认为至关重要的行业,都需要“持续评估和加强其网络安全措施”。
“事实证明,对于新的网络安全法规和举措来说,今年是忙碌的一年,我们认为这种势头不会很快放缓,”他说。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4962.html
