就在全球对政府机构软件安全信心日益动摇之际,一则关于NASA开源项目的爆炸性发现,再次敲响了警钟。
知名安全研究员、ThreatLeap创始人Leon Juranić在短短4小时的人工代码审查中,发现了美国国家航空航天局(NASA)多个开源软件项目中大量严重漏洞,其中包括一系列栈溢出、跨站脚本(XSS)、硬编码密钥等问题。
一场没有技术门槛的漏洞收割
Juranić与NASA软件安全问题颇有渊源。早在2009年,他就曾披露NASA广泛使用的CDF数据格式库中的多个高危漏洞,并促使NASA修复。但这一次,他并未进行深入逆向分析或构造攻击,仅靠简单代码静态审查,便在以下开源软件中挖出严重内存破坏漏洞:
-
QuIP(图像快速处理环境)
-
OpenVSP(飞行器建模工具)
-
RHEAS(区域水文极端事件评估系统)
-
OMINAS(多仪器数据分析软件)
-
Refine(网格自适应处理工具)
-
CFDTOOLS(计算流体动力学工具库)
-
Knife库
这些漏洞普遍源自对不安全函数的滥用,Juranić指出:“它们大多发生在文件格式解析过程中,而这些软件遍布NASA的GitHub开源仓库,构造恶意文件诱导员工点击是再简单不过的社工场景。”
更令人担忧的是,Juranić多次尝试向NASA报告漏洞,却始终未收到任何实质回应。电话联系NASA安全运营中心后得到的答复是:NASA现行政策禁止就外部人士报告的安全问题提供反馈。
此外,他还指出,NASA的官方GitHub仓库不在其漏洞赏金项目范围内,这使得通过常规平台(如HackerOne)报告漏洞几乎无门。
这意味着——NASA既开放了软件源码供全球使用,却又关闭了安全反馈机制的大门。在Juranić看来,这已不是单点失误,而是NASA的软件发布流程(SRA)和安全开发生命周期(SDLC)设计本身存在严重缺陷。
隐患远不止NASA本身
这些漏洞不仅影响NASA内部系统,更威胁全球广泛依赖NASA开源项目的科研机构、政府部门乃至商业公司。一旦被国家级黑客武器化,极可能被用于实施远程代码执行、渗透攻击或信息窃取。
更现实的是,这类攻击往往通过精心构造的文件触发,不依赖用户主动行为,因此常规杀毒、EDR、IDS等防御手段几乎无法发现。而这正是APT攻击者最偏爱的武器类型。
NASA回应:我们有安全政策,但没人知道怎么用
在媒体曝光后,NASA终于回应称:“我们为安全研究人员设立了漏洞披露政策,鼓励善意报告。但需通过官方渠道提交,方可获得响应与跟进。”
问题是,在实际操作中,这一“官方渠道”不仅缺乏可用性,也缺乏透明度,甚至连安全从业者都无法获知其入口与流程。这与近年来各大科技公司(如Google、Apple、Meta)积极引入赏金机制、构建灰帽参与生态的趋势形成鲜明对比。
参考链接:
https://cdf.gsfc.nasa.gov/html/acknowledgements.html
END
原文始发于微信公众号(GoUpSec):美国宇航局开源软件中爆出大量严重漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论