在2025年安全分析師大會上,卡巴斯基公布了一項安全審計結果,揭露了一個重大安全漏洞,該漏洞允許未經授權訪問某汽車制造商的所有聯網車輛。


通過利用承包商公開可訪問應用程序中的零日漏洞,攻擊者成功獲取了對車載信息系統的控制權,從而危害了駕乘人員的人身安全。例如,攻擊者可以在車輛行駛時強制換擋或關閉發動機。這一發現揭示了汽車行業潛在的網絡安全缺陷,促使業界呼吁加強安全措施。


汽車制造商方面


這次安全審計是遠程進行的,審計目標是制造商的公開服務以及承包商的基礎設施。卡巴斯基發現了一些暴露在外的網絡服務。首先,利用Wiki應用程序(一個允許用戶協作創建、編輯和管理內容的網絡平臺)中的零日SQL注入漏洞,成功提取出承包商系統的用戶列表及密碼哈希值。其中一些由于密碼策略薄弱而被猜解出來。通過此突破口,研究人員進一步訪問了承包商的問題追蹤系統(用于管理項目任務、缺陷的軟件工具),其中包含汽車制造商遠程信息處理基礎設施的敏感配置信息,包括某款車載遠程信息服務端的用戶密碼哈希文件。在現代汽車中,車載信息系統能夠實現對聯網車輛的各種數據(例如速度、地理位置等)的收集、傳輸、分析和利用。


聯網車輛方面


在聯網車輛方面,卡巴斯基發現防火墻配置錯誤導致內部服務器暴露。研究人員利用之前獲取的服務賬戶密碼,訪問了服務器的文件系統,并發現了另一個承包商的憑據,從而獲得了對車載信息系統基礎設施的完全控制權。最令人擔憂的是,研究人員發現可以通過固件更新指令,將篡改后的固件上傳至遠程信息控制單元(TCU)。這使他們得以接入車輛的CAN(控制器局域網)總線——該系統連接發動機、傳感器等車身部件。隨后,包括發動機、變速箱等在內的各種其他系統也被訪問。這可能導致對一系列關鍵車輛功能的操縱,從而危及駕駛員和乘客的安全。


“這些安全漏洞源于汽車行業中相當普遍的問題:公開可訪問的網絡服務、弱密碼、缺乏雙因素認證(2FA)以及未加密的敏感數據存儲。這次的成功入侵表明,承包商基礎設施中的單一薄弱環節可能引發連鎖反應,最終導致所有聯網車輛全面淪陷。汽車行業必須優先加強網絡安全措施,特別是針對第三方系統,以保護駕駛員安全并維護公眾對聯網汽車技術的信任,”卡巴斯基ICS CERT漏洞研究和評估負責人Artem Zinenko評論說。


卡巴斯基建議承包商通過以下措施加強網絡安全防護:通過VPN限制Web服務的互聯網訪問,將服務系統與企業內部網絡隔離,實施嚴格的密碼策略,部署雙因素認證(2FA),對敏感數據進行加密,并將日志系統與SIEM平臺集成以實現實時監控。


針對汽車制造商,卡巴斯基建議應限制從車輛網段對遠程信息平臺的訪問,采用網絡通信白名單機制,禁用SSH密碼認證方式,以最小權限運行服務系統,并在遠程信息控制單元(TCU)中確保指令真實性,同時實現與SIEM系統的全面集成。


關于卡巴斯基ICS CERT


卡巴斯基 ICS CERT (工業控制系統網絡應急響應團隊) 主要致力于識別和應對針對工業自動化系統和工業物聯網 (IIoT) 的潛在和現有威脅。該團隊已成功發現并協助修復了數百個廣泛使用的工控系統產品與組件中的漏洞,顯著提升了這些關鍵基礎設施系統抵御復雜網絡攻擊的安全性與韌性。


關于卡巴斯基


卡巴斯基是一家成立于1997年的全球網絡安全和數字隱私公司。迄今為止,卡巴斯基已保護超過十億臺設備免受新興網絡威脅和針對性攻擊。卡巴斯基不斷將深度威脅情報和安全技術轉化成創新的安全解決方案和服務,為全球的個人用戶、企業、關鍵基礎設施和政府提供安全保護。該公司全面的安全產品組合包括領先的個人設備數字生活保護、面向企業的專業安全產品和服務,以及用于對抗復雜且不斷演變的數字威脅的網絡免疫解決方案。我們為數百萬個人用戶及近20萬企業客戶守護他們最珍視的數字資產。要了解更多詳情,請訪問www.kaspersky.com。


 

來源:日照新聞網
原標題:車載系統重大安全隱患:卡巴斯基發現威脅車輛安全的漏洞