網絡安全初創公司ThreatLeap創始人、安全研究員Leon Jurani?指出，美國宇航局（NASA）內部開發使用的開源軟件存在漏洞，可能被攻擊者利用入侵其系統。

漏洞詳情

曾創立并領導DefenseCode的應用安全專家Jurani?與NASA早有淵源——2009年他就發現并報告了NASA通用數據格式（CDF）軟件庫中的多個嚴重漏洞，最終促使開發團隊修復問題。此次他對NASA開源軟件的審計僅耗時4小時，卻發現了大量安全隱患。

在NASA便攜式快速圖像處理環境（QuIP）中，Jurani?首先發現棧緩沖區溢出漏洞，繼而對該機構使用的同類工具展開排查。他解釋："NASA的GitHub代碼庫包含大量專用文件格式處理程序，攻擊者可通過電子郵件或網絡向受害者投遞惡意構造的數據文件。"

經分析確認，以下工具均因使用存在安全隱患的函數而存在緩沖區溢出漏洞：

• 飛機工程分析工具OpenVSP（開放式飛行器草圖板）
• 區域水文極端評估系統RHEAS
• 多儀器分析軟件OMINAS
• 二維/三維網格適配工具Refine
• 包含數值分析庫的CFD工具軟件集（CFDTOOLS）
• knife函數庫

Jurani?向Help Net Security透露，盡管還發現NASA開發的若干Web應用存在反射型跨站腳本（XSS）漏洞和硬編碼密鑰，但各類文件處理軟件中的內存破壞漏洞尤為危險，可能引發遠程代碼執行。"雖然未實際驗證這些典型棧溢出漏洞的可利用性，但文件解析過程中相關代碼可被遠程觸發，理論上具備攻擊條件。"

潛在威脅

國家背景的黑客組織可能利用這些漏洞入侵NASA計算機系統，其他使用相關軟件的政府或民間機構同樣面臨風險。盡管攻擊需誘騙目標員工下載惡意文件，但Jurani?強調："攻擊者每天都在突破這道防線，而殺毒軟件（AV）、端點檢測響應（EDR）、入侵防御系統（IPS/IDS）通常無法防范此類威脅（如惡意文件中的零日漏洞）。"

對于漏洞長期未被發現的原因，Jurani?雖未妄加揣測，但指出NASA軟件安全流程和軟件發布授權（SRA）政策存在明顯改進空間："如今各領域軟件開發都必須遵循安全開發生命周期（SDLC）標準，政府機構及其承包商更應如此。"

漏洞上報困境

"僅通過代碼關鍵詞檢索就能在短時間內發現如此多高危漏洞令人震驚——其中部分軟件還用于太空任務或數據處理。"Jurani?表示。雖然復雜漏洞可能潛伏數十年，但此次發現的均屬"唾手可得"的低級錯誤。

他質疑道："NASA官方GitHub公開其內部軟件代碼，我不相信全球只有我一人關注這些漏洞。"盡管通過多種渠道聯系NASA十余次，但僅從安全運營中心（SOC）獲知"不回應外部個人漏洞報告"的官方政策。此外，NASA的GitHub項目未納入漏洞賞金計劃，導致通過公開平臺提交安全問題困難重重。