政府系统安全漏洞引发的担忧

文章重点

开发者转为安全研究员的 Jason Parker 在19个政府和法律平台中发现25个以上的重大安全漏洞。严重的漏洞可能使攻击者利用弱许可控制来篡改重要的政府应用程式。修复问题需要全面的安全管理改革，而不仅仅是打补丁。

在最近的调查中，开发者 Jason Parker 发现了超过25个关键性漏洞，涉及19个平台，这些漏洞使得攻击者可以利用弱许可控制来篡改重要的政府应用程式，包括选民登记系统、法律文件以及密封的医疗记录。

举个例子，在这次选举季节，一个乔治亚州的选民登记取消平台出现了重大缺陷，这使得恶意攻击者能轻易利用基本的公共资讯来取消选民登记。该问题涉及绕过驾驶执照或社会安全号码的要求，让任何选民的登记都可能受到攻击。

梯子加速器

另一个明显的例子是公共记录管理平台Granicus GovQA中存在的漏洞。Parker表示，攻击者可以轻松地重置密码而不需验证用户身份，并通过操弄网页地址获取用户名称和电子邮件。拥有这种程度的控制权，恶棍可以劫持帐户、修改公共记录的所有权或使合法用户无法访问自己的请求。

Parker在一篇最近的部落格文章中指出：“这些平台中暴露的漏洞不仅仅是技术上的疏忽，这些漏洞的严重性和重复性正削弱公众对被委托处理我们最敏感法律和个人信息的企业及机构的信任。”

Parker强调，解决这些问题需要的不仅仅是修补一些漏洞，而是需要对法院和公共记录系统中的安全管理进行全面改革。他表示，政府机构和法院必须重视强大的许可控制、严格的用户输入验证，以及定期的安全审计和渗透测试，这些必须成为标准做法，而不是在网路攻击后的事后之计。

一个重要的备注：截至目前，并没有迹象显示这些漏洞在实际中被利用过。

政府系统存在风险

Parker的研究突显了一个深层的问题：政府和法律系统依赖过时的基础设施，无法应对现代的网路安全威胁，这是Sectigo的高级研究员Jason Soroko所指出的。他认为渗透测试虽然有用，却不足以解决核心的弱点或主动安全的需求。

Soroko表示：“虽然对这些系统来说完全替换可能不现实，但渗透测试可以帮助指出需要更多监控的地方，但可能无法采取必要的安全控制。许多政府系统已有20到30年的历史，缺乏强大的身份验证、加密和访问控制等现代功能。这些缺口让它们容易受到攻击。攻击者可以轻而易举地更改选民数据库或访问法律记录，显示了依赖渗透测试等被动措施的局限性。”

Approov的副总裁George McGregor补充