安全焦点

针对自动驾驶汽车的攻击“GPS”欺骗

一辆正常行驶的自动驾驶汽车在30秒内径直蹭上了马路牙子，车载全球定位系统（GPS）、激光雷达等“高精尖”设备竟然全部失效。这是美国加利福尼亚大学欧文分校研究团队开展的自动驾驶仿真环境测试研究的结果：一辆自动驾驶汽车的多传感器融合定位方案受到“GPS欺骗”手段攻击，造成车辆失控。这一安全漏洞为近年来加速推进自动驾驶商业化的厂商敲响了警钟。

自动驾驶汽车的安全行驶既依靠对周边障碍物的感知，也依赖全球卫星导航系统对车辆在地图上进行厘米级定位，一旦定位错误，会直接导致自动驾驶汽车冲出路面或驶向错误方向，后果不堪设想。

“GPS欺骗”就是扰乱自动驾驶汽车定位的一种常见攻击手段，这类通过对搭载GPS传感器的终端发送虚假信号的攻击方式在智能手机、无人机、游艇、特斯拉汽车上都曾发生过。调查显示，2016年以来，仅在俄罗斯就发生过9883起“GPS欺骗”攻击事件，影响了1311个民用船只。自动驾驶常用的多传感器融合定位方案某些情况下会出现“接管脆弱”，可使“GPS欺骗”完全控制其定位结果。研究团队设计了一种被称为“融合撕裂者”的攻击方式，抓住接管漏洞出现的窗口期利用“GPS欺骗”发起攻击。结果显示，在2分钟内自动驾驶汽车有97%的几率偏离车道行驶，91%的几率行至逆向车道上。相关论文已发表在信息安全领域四大顶级会议之一的第29届“USENIX Security”会议上。

现实中发起这类攻击的技术门槛并不高，攻击者只需拥有一辆自动驾驶汽车和“GPS欺骗”设备就可实施攻击。市场上一些低端的“GPS欺骗”设备只需200多美元就能买到。

随着自动驾驶技术不断的提高，现今L4自动驾驶系统正在被逐渐商业化。百度已经在北京、长沙和沧州开始大规模测试无人驾驶出租车，百度获得加州全无人驾驶测试许可，Waymo甚至已经开始在美国凤凰城测试不需要安全驾驶员的完全自动驾驶出租车。

享受的自动驾驶高效率的同时，也必须承担相应的高风险，这就是现在的自动驾驶领域的现状，电脑防御攻击可以通过安装防病毒软件等等，自动驾驶汽车防御攻击现在仍然是一片空白，除了依赖于主机厂的自身安全特性，暂时没有第三方安全厂商可以依赖。

安全风险

用友NC BeanShell远程代码执行漏洞

2021年06月03日，华云安思境安全团队监测发现用友官方发布了用友BeanShell远程代码执行漏洞的通告，漏洞编号为CNVD-2021-30167。

漏洞编号：CNVD-2021-30167

漏洞名称：用友NC BeanShell远程代码执行漏洞

风险等级：超危

影响版本：用友NC: 6.5

漏洞危害：由于NC对外开放BeanShell接口，未经身份验证的攻击者通过该漏洞可以进行远程攻击利用，执行任意命令，攻击者可利用该漏洞获取服务器控制权。

厂商已提供漏洞修补方案，补丁下载地址：http://umc.yonyou.com/ump/querypatchdetailedmng?PK=18981c7af483007db179a236016f594d37c01f22aa5f5d19

企业安全

微软安全团队称黑客组织正在进行新一轮的勒索病毒攻击，已经锁定了政府部门、医疗机构、制造业、交通运输和教育软件供应商等关键性的社会服务组织，全然不顾因攻击这些组织而造成全球危机的严重后果。该轮攻击已持续数月之久，其网络渗透操作最早可以追溯到2020年初，之后一直在目标网络中潜伏，暗中进行访问权限累积和持久化操作，直至达到部署勒索病毒有效载荷（Payload）的最佳收益时刻。

勒索病毒攻击主要包括初始化访问（Initial Access）、凭据窃取（Credential Theft）、横向移动（Lateral Movement）、持久化（Persistent）和载荷部署（Payload Deployment）等5个阶段。其中，初始化访问是勒索病毒攻击的第一步，是后续凭据窃取、横向移动、持久化和载荷部署的基础，其利用的是受害者网络设备或其网络边界系统的漏洞。

从微软勒索病毒的攻击数据来看，黑客通常利用以下安全漏洞：

lRDP（Remote Desktop Protocol，远程桌面协议）或无MFA（Multi-Factor Authentication，多因子认证）的虚拟桌面终端；

不再进行安全更新的老版本操作系统（如若使用弱密码，情况会更糟糕），例如，Windows Server 2003和Windows Server 2008，windows7等；

错误配置的web服务器，包括IIS、电子健康记录软件、备份服务器或系统管理服务器；

CVE-2019-19781漏洞（Citrix 公司ADC系统）；

CVE-2019-11510漏洞（PulseSecure公司的VPN系统）；

CVE-2019-0604漏洞（Microsoft SharePoint服务器）；

CVE-2020-0688漏洞（Microsoft Exchange服务器）。

虽然微软尚未发现任何利用CVE-2019-0604 （Microsoft SharePoint）、CVE-2020-0688（Microsoft Exchange）、CVE-2020-10189 (Zoho ManageEngine)漏洞的攻击，但是本着“以史为鉴”的原则，终有一天黑客会对这些漏洞加以利用以进入受害者的网络，因此它们也值得被审查和修补。为了防范勒索病毒攻击，微软认为首要措施是从阻止漏洞利用开始，要为接入互联网的网络设备及其网络边界系统打上安全补丁；其次，要对正在进行的攻击进行检测和响应，在计算机网络中积极地寻找勒索病毒攻击的活跃迹象，例如利用恶意的PowerShell、Cobalt Strike或其他渗透测试工具渗入红队的行为、凭据窃取的行为、安全日志篡改的行为。一旦发现任何此类迹象，相关部门的网络安全团队应立即采取处置措施，评估安全影响，防止攻击者部署有效载荷（Payload）。主要处置措施包括：

1）调查被入侵的终端设备或凭据；

2）隔离被攻破的终端设备；

3）重建被恶意入侵的设备。

如对勒索病毒安全防范需要进一步了解，请联系蓝盟IT外包获取免费咨询。

文/上海蓝盟  IT外包专家

• 上一篇: 蓝盟IT外包一站式解决方案：引入航空级SOP标准，实现网络与服务器从被动应急到主动运维的全面升级
  下一篇: 蓝盟IT外包，聊聊“交换机端口安全”

• 分享到：