内存安全周报第157期 | AI算法检测无人驾驶军用车辆的MitM攻击
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、AI算法检测无人驾驶军用车辆的MitM攻击(10.14)
研究人员开发了一种前沿算法,可以有效检测和抵御对无人军事机器人的MitM攻击。该算法成功率高,虚假警报率低,展现出其保证网络安全,特别是保护军事应用中关键的机器人系统的强大潜力。此外,这项技术有望适用于其他复杂的机器人平台,包括无人飞行器,其中快速且可靠的入侵检测至关重要。
详细情况
研究人员开发了一种创新算法,旨在检测和阻止对无人军事机器人的中间人(MitM)攻击。这些类型的网络攻击涉及截取机器人与其控制器之间的数据流量,以窃听或向通信流中注入虚假数据。这些攻击构成了严重威胁,因为它们可以干扰无人车辆的运行,篡改传输的指令,甚至控制机器人以执行危险行动。
其中一个关键的漏洞存在于机器人操作系统(ROS),它高度网络化,因此容易泄漏数据或被电子劫持。这种脆弱性源于机器人之间协作工作的需求不断增加,它们依赖传感器、执行器和控制器通过云服务交换信息。不幸的是,这种互联性使它们容易成为网络攻击的目标。
为了应对这一威胁,大学研究人员利用机器学习技术开发了一种能够迅速检测和抵御MitM攻击的算法。他们将该算法在美国陆军坦克汽车研究、开发和工程中心(TARDEC)使用的GVR-BOT的复制品上进行了测试。令人惊讶的是,它在阻止攻击方面的成功率达到99%,虚假警报发生率不到2%。
检测无人车辆和机器人是否受到MitM攻击是一项复杂的任务,因为这些系统在容错模式下运行,很难区分正常操作和潜在故障。此外,机器人系统可以在不同层次受到威胁,从核心系统到其子系统和子组件,这可能导致机器人无法正常运行。
研究人员应对这些挑战的方法,就是通过开发一种系统,通过分析机器人网络流量数据以识别妥协尝试。该系统采用基于节点的方法,对数据包进行仔细检查,并使用基于流量统计的系统来读取数据包头部的元数据。研究人员发布的技术论文深入探讨了他们以此为目的开发的深度学习卷积神经网络(CNN)模型的细节。该模型包含多层和滤波器,以提高网络攻击检测结果的可靠性。
在实际测试中,研究人员使用复制机器人并模拟网络攻击各种系统,即使在经过仅2-3次模型训练后,该系统也取得了出色的结果,识别准确度高。这项创新保护系统潜在的应用领域包括更为严谨的机器人平台,如无人飞行器,接下来,研究人员将研究该入侵检测系统的有效性。
参考链接
二、超过40,000台思科设备受到零日漏洞攻击(10.19)
黑客已经开发了一个危险的漏洞,即CVE-2023-20198,影响了超过40,000台运行IOS XE操作系统的设备。这些设备包括企业交换机、工业路由器、接入点、无线控制器、聚合和分支路由器。这一漏洞的严重性引发了担忧,因为目前尚无可用的补丁或解决方法。建议客户的唯一解决方案是在所有面向互联网的系统上“禁用HTTP服务器功能”。
详细情况
最初的估计表明,大约有10,000台设备受到了攻击,但随着安全研究人员对互联网进行更精确的扫描,这一数字已经增加。各种搜索引擎和安全团队发现了大量感染设备,一个索引服务发现了大约30,000台受影响的设备。这些受感染的设备分布在多个国家,包括美国、菲律宾和智利。
为了应对激增不断的威胁,研究人员紧急响应团队(CERT)发布了资源,以帮助用户识别和减轻问题。他们发布了一个Python脚本,用于扫描运行IOS XE的网络设备,以识别恶意植入物。某搜索平台报告称,受影响设备的数量已上升至41,983台。然而,确定公共互联网上可访问的IOS XE设备的精确数量仍然是一个挑战。某个用于互联网连接设备的搜索引擎,识别出超过145,000个主机,其中大部分位于美国,且它们的Web UI可在线访问。
对于一些组织将这些设备暴露在互联网上的做法,安全研究人员表示担忧。在美国,许多受影响的设备属于通信提供商、医疗中心、大学、执法机构、学区、便利店、银行、医院和政府实体。他们不鼓励将IOS XE登录界面暴露在公共互联网上,因为它使设备容易受到此类攻击。
早在2023年9月28日之前,威胁行为者就已经利用了CVE-2023-20198作为零日漏洞,从而他们能在受影响的设备上创建超级特权帐户,并获取全权控制。尽管设备重新启动后会删除恶意植入物,但新创建的具有管理员全部访问权限的帐户仍然存在。这些攻击的威胁行为者进行了初步的侦察活动,清除日志并删除用户,以隐藏他们的活动。
根据研究人员的分析,这些攻击可能是单一威胁行为者的行为,但初始传递机制仍不清楚。目前研究人员正在积极调查这些攻击行为,并更新了咨询服务,提供了有关攻击者IP地址和用户名等信息,以及Snort开源网络入侵检测系统和入侵预防系统的规则。他们承诺在调查完成并提供修复方案时将提供更多详细信息。
参考链接
