《衛星十大安全風險2023》全球首發

1.拒絕服務攻擊

拒絕服務攻擊的方式有很多，例如這四種類型，一是通過向衛星的通信頻段發送大量干擾信號以阻塞頻段干擾地空通信。二是使用大功率發送偽造內容代替原信號以壓制替換為其他視訊訊號內容。三是通過抓取正常通信的信號進行分析執行命令情況，然後進行信號重放讓衛星重複執行相應命令。例如某觀測衛星被惡意操縱轉向太陽，圖像觀測元器件直接報廢。四是基於試圖通過在衛星系統中產生資料超載來中斷系統的操作。

2.不加密通信

很多早些年發射的衛星通用安全問題是缺少對遙控指令TC的加密和身份­驗證，這導致通信模組COM上的存取控制被繞過，具有地面站的攻擊者可能會向衛星發出任意命令。而且還沒有很好的解決方案，一些衛星所採用的ICP協議必須進行擴展才能進行加密。還有CSP協定雖然可以提供XTEA加密演算法和基於雜湊的消息驗證碼（HMAC）驗證，但這些功能在編譯時可能被禁用了。因此，COM不提供任何保護，攻擊者可以通過執行任意TC來控制衛星。另外CCSDS、GRE、X.25及衛星網路中TCP協定都有一些不安全的設計。

3.緩衝區溢位

一些衛星系統存在各種任意讀取和寫入記憶體的安全問題，攻擊者通過命令控制傳遞的所有參數，任何擁有地面站GS的人都可以利用它們來獲得遠端代碼執行並控制衛星，攻擊者還可能將固件更新寫入快閃記憶體，從而使衛星的接管變得不可逆轉。目前大部分衛星所使用的即時操作系統RTOS沒有任何類似在Linux或Windows系統中已經成熟的記憶體保護功能，例如ASLR、Stack cookies等對抗溢出攻擊的技術。

4.缺少身份驗證

某些衛星所使用的COM中的CCSDS引擎實現了TC的解密，但它沒有實現TC的認證，因此，攻擊者可能使用重放攻擊或偽造密文攻擊來繞過解密，具體取決於支持的加密類型。由於很多衛星資料通信是不加密的，通過對衛星通信頻譜進行分析，獲取通信頻段，然後對接收設備調頻，能夠接收到衛星的資料，竊取地空傳輸資料或重放控制指令。

5.控制資料洩露

一些衛星在接收到ICP資料包時，通過FreeRTOS資料佇列傳遞到命令調度器，命令調度器使用引數來執行相關聯的命令，但解析命令結構的函數不會根據ICP資料包或payload的總長度驗證參數長度欄位。攻擊者可指定惡意長度欄位，該欄位表示參數比實際長度更長。這導致命令處理常式函數從堆記憶體中使用的位元組數超過預期，從而導致緩衝區溢位。因此，攻擊者可以在TC中包含其他資料，導致控制資料洩漏。利用不受環境條件的影響，但提取特定的資訊要取決於堆佈局。該漏洞有些類似于之前知名的OpenSSL Heartbleed漏洞。

6.不安全的更新

很多衛星使用快閃記憶體檔案系統來存儲檔，包括固件鏡像，如果TC允許創建新檔並對其進行寫入，就能夠將惡意固件鏡像上傳到衛星上。但要更改指向當前鏡像的檔案系統路徑，可能要啟用關鍵命令，這是一些衛星設置中的全域布林標誌，可以通過不需要額外驗證的TC來更改此標誌。類似的關鍵功能會隱藏在同一個標誌後面。

7.遙控TC資料注入

雖然常見的單個CAN匯流排資料包每次傳輸限制為8個位元組，但任意數量的資料包可以在發送傳輸結束標記之前發送。同時，這些資料包被複製到一個靜態緩衝區中，使攻擊者能夠進行超出預期範圍的寫入。如果PDHS等資料處理系統對傳輸的資料具有完全控制權，就可以讓破壞PDHS等資料處理系統的攻擊者能夠將資料注入Link TC Fetcher。

8.不安全的元件

軟體供應鏈攻擊一樣存在于各類衛星系統之中，例如一些衛星的OBSW中的GomSpace NanoMind SDK利用了uffs庫，該庫實現了低成本的快閃記憶體檔案系統，根據該庫的作者不完全統計該庫在大約75艘航天器上使用了，NASA也使用了該庫。該庫在檔重命名過程中發現了一個基於堆疊的緩衝區溢位漏洞，在該漏洞是由於新檔的名稱在沒有任何大小檢查的情況下被複製到靜態大小的緩衝區中，從而導致任意代碼執行。

另一個比較受歡迎的庫是libCSP，它也有類似的漏洞，該庫的加密原語實現受到只使用一次的可預測數位（nonce）、MAC驗證的定時側通道和重放攻擊的影響。這些問題可能會影響相當多的航天器。

9.不安全的欄位大小

在CDHS中的SPP實現完全信任資料包的欄位大小，該欄位從未經過過濾，並導致緩衝區溢位漏洞。一些衛星完全信任SPP中包含的大小欄位，即使在驗證了CCSDS大小欄位之後也是如此。攻擊者可以在其攻擊命令中包含以前TC的資料，從而導致TC更改，半特權操作員可以通過TC Fetcher利用TC更改來有效執行不同的命令，雖然只能執行操作員在GS上授權的TC。

另外在CCSDS解析中有一種填充機制，它通過增加緩衝區指針而跳過前導填充，而不更新相應的大小欄位。攻擊者可以利用這一點，通過重寫原始緩衝區，強制CCSDS解析讀取其他TC資料包資料，有效地將其他TC資料包括在攻擊者的TC中，從而允許半特權操作員在上傳後更改其TC。該漏洞也可通過TC Fetcher介面（如可信大小欄位）進行攻擊。

10.協定的不安全使用

一般來說越重的衛星需要更高的發射成本和可能更昂貴的元件，這自然會增加項目的複雜性，所以複雜的衛星更有可能使用標準協議，而小型衛星則更傾向于開發自訂協議。目前全球衛星標準協定的首選是CCSDS系列協定，該生態系統非常複雜，至少有14種不同的協定和使用互聯網協定的選項（IPsec、TCP），所以為一顆衛星選擇協議是不簡單的，因為每個選擇的協定，該協定要求對複雜標準檔中的潛在問題和優勢進行單獨調查。在空間領域尤其缺乏最佳安全實踐。在過去多年的頂級安全學術會議上，幾乎找不到關於CCSDS的議題。這對於一個自1995年以來一直在開發的協議來說是非常可怕的！它與SSL2.0一樣古老。

以上十大安全風險是圍繞衛星本身的漏洞類型，不包括一些公開信息獲取（如通過一些開放的資料和軟體獲得衛星的即時軌道位置）或惡意的硬體攻擊（如出於敲詐勒索或恐怖主義等目的控制衛星，將其用作動能武器，使其與其他太空資產相撞）等，另外關於衛星互聯網的安全關鍵科技挑戰也可以從這十個安全問題去思考，可以看出基本上衛星安全問題和傳統網路安全相差無幾，從安全的啟動到保持軟體更新，以及做好身份管理和許可權顆粒度管理都是我們日常常見的安全手段了。山石安研院也希望能與更多的衛星研發機構建立安全合作。隨著衛星研發和發射成本的日益降低，將會有越來越多的各類衛星發射上天，但頻率和軌道資源是人類不可或缺的有限自然資源，希望大家且用且珍惜，少製造太空垃圾。

原文始发于微信公众号（SAINTSEC）：《衛星十大安全風險2023》全球首發