安全公告编号:CNTA-2017-0074

近日，国家信息安全漏洞共享平台（CNVD）收录了船舶通信平台AmosConnect 8 存在后门与SQL注入漏洞（CNVD-2017-27849对应CVE-2017-3222、CNVD-2017-27843对应CVE-2017-3221），允许通过身份验证的攻击者完全控制AmosConnect服务器。

一、漏洞情况分析

AmosConnect 8（简称AC8）是在海洋环境中与卫星设备协同工作的平台，是移动卫星服务提供商Inmarsat集团旗下的产品，该产品是一个受密码保护的船载通信平台，能够通过卫星连接为船只提供互联网服务，船员可通过该平台访问船上互联网服务，提供的服务包括：电子邮件、即时通信、定位报告、船员互联网、自动文件传输、应用程序集成等。

根据安全厂商IOActive10月26日发布的报告，AtmosConnect8平台存在秘密后门账户，研究人员在AtmosConnect源代码中审计一个名为“authenticateBackdoorUser”函数时发现了这个后门账号，该后门账号的用户名在每台设备上是唯一的，每个AC8登录界面均会显示“Post Office ID”。任何人均可查看AtmosConnect的源代码，通过authenticateBackdoorUser逆向推算出密码。攻击者可借助该漏洞滥用AmosConnect任务管理器在远程系统上执行具有SYSTEM权限的命令。另外，在登录表单处存在一处SQL注入漏洞攻击者可访问内部数据库存储的凭证。

当前这类服务器通常位于船舶IT网络内，要利用这些漏洞较为困难，入侵者需要通过物理访问这台PC，这就要求入侵者获取船只和PC访问权。虽然存在远程访问的可能性，但厂商Inmarsat在岸上部署的防火墙已阻止了这种访问，因此远程访问的可能性较小。CNVD对漏洞的综合评级均为“中危”。

二、漏洞影响范围

AmosConnect 8

三、漏洞处置建议

针对此次的报告，Inmarsat厂商发表声明称：公司已告知客户，该服务于今年7月停止使用，公司继续将AmosConnect 7作为主推产品。并在此之前已经发布了安全补丁，从而大大降低了潜在风险。公司还采取措施防止用户通过公共网站下载并激活AC8。Inmarsat的中央服务器不与AmosConnect8电子邮件客户端连接，因此客户无法使用该软件。请关注厂商主页：http://www.inmarsat.com/news/inmarsat-response-to-ioactive-claims/

附：参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27843

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27849

https://nvd.nist.gov/vuln/detail/CVE-2017-3221

https://nvd.nist.gov/vuln/detail/CVE-2017-3222