合法协调披露漏洞反遭威胁！这家制造商不讲武德

安全研究人员Andrew Lemon发现，Intelight X-1交通灯控制器存在一个严重漏洞，允许攻击者通过未授权的Web界面完全控制交通信号灯。该漏洞的关键在于设备的Web界面缺乏身份验证，并且可以通过互联网访问。Lemon尝试模拟电影中的场景，使十字路口的所有交通灯同时变绿，但由于故障管理单元的存在，这种情况被防止。然而，攻击者仍可以通过调整信号灯的时间设置来制造交通拥堵等物理问题。

Lemon和他的团队在互联网上发现了大约30个易受攻击的Intelight设备，并将问题报告给拥有这些设备的Q-Free公司。然而，Q-Free不仅没有合作，反而向Lemon发出法律信函，声称他分析的设备已经停产，而且他的研究可能违反了计算机欺诈法。Q-Free担心漏洞的公开披露可能损害国家安全，并导致基础设施受到攻击。Lemon认为，Q-Free试图通过法律威胁让他保持沉默。

Q-Free的代表Tricia Tunilla指出，Intelight X-1控制器近十年未生产，并建议用户用更新型号替换旧设备。除了Intelight设备外，Lemon还发现一些连接互联网的Econolite设备也使用可能存在漏洞的NTCIP协议。Econolite发言人证实，这些设备现已过时，建议所有用户更换为更新型号。

在这系列博客文章中，Andrew Lemon将分享他在研究交通控制系统时的发现和经历。原本计划在DefCon上展示的研究成果，由于CFP未被接受，作者决定通过博客系列文章的形式来呈现。

研究背景

作者受邀在亚利桑那州的美国智能交通协会会议上发表演讲，从攻击者的角度分析交通系统。尽管之前与政府机构和交通部门有过多次合作，但作者并未深入接触过交通控制系统。得益于一位OT合作伙伴的支持，作者得以进入实验室，那里配备了完整的交通柜和技术资源，使他能够在安全的环境中了解交通控制系统的工作原理。

交通信号控制器是管理路口交通的关键组件，主要负责控制交通信号灯的顺序，确保交通流畅和行人安全。技术人员会根据特定的顺序配置交通控制器，决定信号灯的亮起时间以及通行规则。系统中还包括其他重要组件，这些将在后续文章中介绍。

漏洞概述

关键国家基础设施暴露在开放的互联网上并不罕见。作者选择了Intelight X-1控制器作为研究起点，因为它是最便宜且最容易获得的控制器。

在配置了控制器的IP地址后，作者进行了端口扫描，发现SSH、SNMP和HTTP端口均开放。通过Web界面访问时，作者惊讶地发现没有设置身份验证。在尝试启用身份验证的过程中，作者在“管理”选项卡下找到了网络安全设置，并发现了明文形式的默认凭据。

通过一系列测试，作者发现即使启用了网络安全设置，仍然可以在未认证的情况下访问特定的URL。这表明存在一个身份验证绕过漏洞，允许未授权的用户完全访问控制器。

一旦攻击者绕过身份验证，他们将拥有对控制器的完全控制权，能够进行任意更改，如调整信号灯的持续时间、上传自定义配置或将交叉路口设置为闪烁模式。

作者的下一步是为这个问题获取CVE编号。经过与MITRE的沟通，作者成功获得了CVE“CVE-2024-38944”。

负责任的披露

在验证了发现并分享给同事后，作者决定向供应商报告这些漏洞。通过Q-Free公司的联系表单，作者提交了漏洞报告。然而，10天后收到的回复并非来自工程团队，而是总法律顾问的一封长信，信中对作者的发现提出质疑，并要求不公开任何信息。

供应商的回应

供应商的回应并未满足作者的期望，反而提出了一系列不合理的要求。作者在LinkedIn上分享了这一经历，并得到了广泛的支持。这鼓励作者继续追求问题的解决，而不是被法律威胁所吓倒。

您“认为”您发现了一个漏洞，如果您发现得当，产品也将终止使用，即使产品仍在使用中，您的发现也不符合我们负责任的披露标准，因此它无效且是未经请求的，我们没有资源来分析终止使用软件，我们只接受我们目前销售的产品上的漏洞，但请以书面形式确认您不会发布有关此问题的任何信息，因为这可能会影响关键的国家基础设施。此外，您的电子邮件中没有包含您如何获得控制者访问权限的信息，因此，如果您发布有关您发现的信息，我们将根据《计算机欺诈和滥用法》（18 USC 1030）采取“适当”行动。

这个回复让作者大为诧异。

在随后发布的第二篇文章中，安德鲁·莱蒙分享了交通信号控制设备漏洞发现、复现的过程，而且这种漏洞的影响具有普遍性。莱蒙通过对Econolite和Intelight控制器进行侦察和端口扫描，发现了FTP、Telnet、SSH和HTTP等开放端口，并通过暴力破解获得了管理员凭据。尽管成功进入控制器，但受限于VxWorks shell，他转向研究Intelight控制器。通过Web应用程序，他发现控制器使用SNMP协议配置，这使他能够利用SNMPwalk和IReasoning的MIB Browser获取和修改控制器数据。莱蒙强调，NTCIP协议广泛用于交通控制系统，未妥善管理的情况下可能导致严重安全风险。

参考资源：

1.https://www.securitylab.ru/news/550336.php

2.https://www.redthreatsec.com/blog/greenlightspart1

3.https://www.redthreatsec.com/blog/give-me-the-green-light-part2-dirty-little-secrets

原文来源：网空闲话plus

“投稿联系方式：010-82992251   sunzhonghao@cert.org.cn”