事件概述
2026年5月,美国网络安全媒体Cybernews曝光一起严重的美军供应链数据暴露事件:长期为美国陆军提供设施管理服务的承包商 CMI Management Inc.(隶属于加拿大上市公司Dexterra Group,TSX: DXT)因服务器配置错误,导致超过70,000份涉及多个军事基地的敏感文件通过互联网公开访问长达一年以上。
数据包括基地内部照片、建筑结构示意图、维护工单以及军事人员与承包商的个人身份信息(PII)。尽管独立安全研究员 Arkadeep Roy 早在2024年已向US-CERT(美国计算机应急准备小组,现并入CISA)报告,但数据直至2026年4月仍处于活跃暴露状态,且文件持续实时更新。
这一事件并非孤立个案,而是国防工业基地(Defense Industrial Base, DIB)第三方风险管理的典型失败案例,凸显了即使在高度敏感的军事设施管理领域,基础配置安全与事件响应仍存在致命短板。
技术暴露细节与攻击面分析
暴露根源为经典的 Open Directory Listing(开放目录列表)漏洞:Web服务器未禁用目录浏览功能,且缺乏任何身份验证或访问控制机制。攻击者(或任何互联网用户)可直接通过浏览器列出并下载整个目录内容,无需任何凭证。【泄露文件全量均可下载】
暴露数据类型与情报价值:
-
基地内部照片:显示基础设施布局、入口、监控设备、安防弱点等,可直接用于物理侦察。 -
建筑示意图与结构图纸:提供精确的空间情报,支持路径规划与针对性渗透。 -
维护工单与工作记录:揭示日常运营模式、设备状态、人员排班,可能暴露低峰期或维护窗口。 -
PII数据:军事人员及承包商的姓名、联系方式、职务等,可用于高度针对性的社会工程攻击。
从威胁情报角度看,这些数据可直接映射为 MITRE ATT&CK 框架中的侦察阶段(Reconnaissance)资产:
-
T1595(Active Scanning)与 T1593(Search Open Websites/Domains)的结合体。 -
进一步可支撑 T1589(Gather Victim Identity Information)和 T1591(Gather Victim Org Information)。
暴露的目录属于CMI Management的设施管理系统,该公司自1986年起为美军提供基地运营支持服务(Base Operations Support),涉及训练中心、任务关键设施等多个站点。2024年初被Dexterra Group收购后,仍承担大量政府合同。
时间线与响应失效分析
-
2024年:Arkadeep Roy发现暴露,向US-CERT报告,获回复称“正在联系相关供应商”。 -
2026年3月16日:Cybernews研究团队收到Roy的提示。 -
2026年3月17日:团队确认目录仍公开可访问,数据实时更新。 -
2026年3月18日:正式向CMI Management和CISA披露。 -
2026年5月8日(今天):仍可验证暴露状态。
关键问题:早期通知并未触发有效补救。研究团队指出,“即使涉及军事设施,数据仍被不安全存储,补救努力未被优先处理。” 这反映出典型的第三方风险管理(TPRM)失效——承包商对自身暴露资产缺乏持续监控,政府端事件响应SLA(服务级别协议)执行不力。
截至2026年5月8日,CMI Management尚未公开回应,DoD/CISA也未发布正式声明或已知补救确认。
结论
此次事件再次证明:在高度互联的现代国防生态中,“低级别”技术债务可能引发高级别国家安全后果。保护军事基地安全,不能仅靠围栏与警卫,更需从供应链的每一个数字触点筑起防线。
CMI Management事件不是终点,而是警钟。相关机构、承包商与情报界必须以此为契机,加速从被动响应转向主动韧性建设。否则,类似“开放目录”式的低成本、高影响暴露仍将反复上演。
暂无评论内容