2023年已經(jīng)接近尾聲，在這一年里各類(lèi)車(chē)聯(lián)網(wǎng)安全事件頻發(fā)，作為年底獻(xiàn)禮，青驥小伙伴整理了今年各類(lèi)公開(kāi)紕漏的重大漏洞或事件29條，供業(yè)界參考，也歡迎大家關(guān)注由青驥安全小組主導(dǎo)的“車(chē)聯(lián)網(wǎng)安全事件時(shí)間軸”。在此新舊交替之際，青驥安全小組祝愿大家“去歲千般皆如愿，今年萬(wàn)事定稱(chēng)心”。

車(chē)聯(lián)網(wǎng)安全事件時(shí)間軸2023年共收錄29個(gè)公開(kāi)紕漏的重大漏洞或事件。

2023 年安全事件出現(xiàn)了一些新的變化，特征如下。

國(guó)內(nèi)車(chē)聯(lián)網(wǎng)安全事件共發(fā)生 5 起，較2022年的2起有所提高，車(chē)端漏洞占比增高。

保時(shí)捷內(nèi)燃機(jī)版MACAN不滿(mǎn)足WP.29安全法規(guī)要求將停止在歐洲銷(xiāo)售，這使得燃油版保時(shí)捷 Macan 成為第一個(gè)因網(wǎng)絡(luò)安全問(wèn)題而停售的車(chē)型。

黑灰產(chǎn)主要集中于勒索、車(chē)輛盜竊，此類(lèi)攻擊容易被識(shí)別；而 ECU 數(shù)據(jù)篡改，隱蔽性高不易被發(fā)現(xiàn)，“非法篡改電池組數(shù)據(jù)” 案例中，提供了一種基于大數(shù)據(jù)的異常檢測(cè)思路。

1. BMW、勞斯萊斯供應(yīng)商SSO平臺(tái)存在任意用戶(hù)密碼重置漏洞

2023年1月3日

BMW、勞斯萊斯供應(yīng)商SSO(單點(diǎn)登錄)平臺(tái)用于訪問(wèn)內(nèi)部工具、開(kāi)發(fā)環(huán)境等。單點(diǎn)登錄平臺(tái)密碼重置存在漏洞,未授權(quán)用戶(hù)能夠重置任意用戶(hù)的密碼。使用重置后的密碼,能夠訪問(wèn)供應(yīng)商所能夠訪問(wèn)的所有功能,如通過(guò)VIN碼獲取銷(xiāo)售文檔(其中包含客戶(hù)的隱私信息)。對(duì)OSS平臺(tái)模糊測(cè)試中發(fā)現(xiàn)WADL文件(xpita.bmwgroup.com/rest/api/ap…),其中的存在大量敏感接口。如使用接口 /reset/api/users/example* 可以根據(jù)模糊用戶(hù)名獲取用戶(hù)信息；/rest/api/chains/accounts/:user_id/totp接口用于請(qǐng)求基于時(shí)間的一次性密碼,此TOTP密碼用密碼重置中,類(lèi)似于雙因子認(rèn)證中的驗(yàn)證碼。測(cè)試發(fā)現(xiàn)使用通配符在用戶(hù)查詢(xún)接口獲取到用戶(hù)信息后,進(jìn)入密碼恢復(fù)頁(yè)面重置用戶(hù)密碼,并從/rest/api/chains/accounts/:user_id/totp獲取到驗(yàn)證碼,提交后就能實(shí)現(xiàn)對(duì)指定用戶(hù)的密碼重置。

2. 利用錯(cuò)誤配置的奔馳SSO實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行、訪問(wèn)數(shù)百個(gè)內(nèi)部工具

2023年1月3日

奔馳 SSO 平臺(tái)使用一個(gè)集中式的LDAP系統(tǒng)管理用戶(hù)訪問(wèn)授權(quán)。在對(duì)大量網(wǎng)站模糊測(cè)試后,發(fā)現(xiàn)車(chē)輛維修內(nèi)部工具獲取網(wǎng)站 umas.mercedes-benz.com 開(kāi)放了用戶(hù)注冊(cè)。注冊(cè)信息寫(xiě)入到的數(shù)據(jù)庫(kù)與核心員工LDAP系統(tǒng)是同一個(gè)。使用注冊(cè)的信息進(jìn)入SSO平臺(tái),成功登錄了git.mercedes-benz.com。訪問(wèn)發(fā)現(xiàn),在內(nèi)部 Github 中有大量項(xiàng)目的源碼和文檔,比如用戶(hù)用來(lái)遠(yuǎn)程控制他們汽車(chē)的應(yīng)用 Mercedes Me Connect。內(nèi)部文檔中對(duì)開(kāi)發(fā)遠(yuǎn)控應(yīng)用進(jìn)行了詳細(xì)的說(shuō)明。安全研究員在奔馳要求進(jìn)一步說(shuō)明影響中,發(fā)現(xiàn)使用注冊(cè)的信息能夠獲取敏感信息、通過(guò)暴露的spring boot控制臺(tái)(actuators)以及數(shù)十個(gè)員工使用的敏感內(nèi)部應(yīng)用程序?qū)崿F(xiàn)遠(yuǎn)程代碼執(zhí)行。其中一個(gè)應(yīng)用是 Mercedes-Benz Mattermost(基于Slack),能夠加入任意頻道、包括安全頻道,以及能夠偽裝成內(nèi)部員工想被攻擊者提出必要的問(wèn)題,用來(lái)提升在奔馳網(wǎng)絡(luò)中的權(quán)限。 3. 法拉利賬戶(hù)完全接管和任意用戶(hù)創(chuàng)建,允許攻擊者訪問(wèn)、修改、刪除所有客戶(hù)信息以及訪問(wèn)管理CMS功能以管理法拉利網(wǎng)站

2023年1月3日 研究人員在對(duì)大量的目標(biāo)測(cè)試后,發(fā)現(xiàn) api.ferrari.com為法拉利系統(tǒng)提供了用戶(hù)側(cè)和內(nèi)部API接口。分析了大量有關(guān)經(jīng)銷(xiāo)商的子域名的JAVASCRIPT代碼后,發(fā)現(xiàn)經(jīng)銷(xiāo)商的測(cè)試網(wǎng)站單一登錄實(shí)現(xiàn)存在問(wèn)題,沒(méi)有限制對(duì)底層應(yīng)用程序的訪問(wèn)。在JS代碼中暴露了 api.ferrari.com/cms/dws/back-o… 的 apiKey。使用此api可以訪問(wèn) /cms/dws/back-office/auth/bo-users 獲取到了所有注冊(cè)用戶(hù),還能發(fā)送POST請(qǐng)求為自己添加一個(gè)超級(jí)管理員用戶(hù)。訪問(wèn) /cms/dws/back-office/rest-connector-models 返回了 API 列表以及明文的認(rèn)證頭。使用這些信息能夠訪問(wèn)用戶(hù)的個(gè)人信息,如[ian@ian.sh](http://fcd.services.ferrari.com/core/api/v1/Users?email='onclick='void(0)'>fcd.services.ferrari.com/core/…,向/core/api/v1/Users/:id/Roles 發(fā)送 POST 請(qǐng)求修改用戶(hù)角色,將自己設(shè)置為超級(jí)用戶(hù)或成為法拉利車(chē)主。此外還能利用返回的信息,注冊(cè)新的rest connectors 以及修改現(xiàn)有的。

4. SPIREON系統(tǒng)存在 SQL 注入和正則認(rèn)證繞過(guò),允許攻擊者訪問(wèn)、追蹤、發(fā)送任意命令到1500萬(wàn)個(gè)遠(yuǎn)程信息管理系統(tǒng)上

2023年1月3日

車(chē)輛智能公司 Spireon 的后裝 GPS 追蹤器能夠追蹤和管理車(chē)輛,接收任意指令,如鎖定啟動(dòng)器讓車(chē)輛無(wú)法啟動(dòng)。Spireon系統(tǒng)存在 SQL 注入和正則認(rèn)證繞過(guò),允許攻擊者訪問(wèn)、追蹤、發(fā)送任意命令到1500萬(wàn)個(gè)設(shè)備上。SQL注入,繞過(guò)登錄：后臺(tái)系統(tǒng)admin.spireon.com 登錄頁(yè)面存在SQL注入漏洞,使用SQL注入載荷 admin' # 或administrator' # 登錄,301重定向到/dashboaed 頁(yè)面。管理員能夠訪問(wèn)所有Spireon設(shè)備,獲取實(shí)時(shí)定位、給它們發(fā)送任意命令,還可以通過(guò)固件更新修改配置、植入后門(mén)、執(zhí)行任意命令等。這些設(shè)備廣泛使用在拖拉機(jī)、高爾夫球車(chē)、警車(chē)和救護(hù)車(chē)中,其中一部分只能獲取實(shí)時(shí)定位,還有一些能夠禁用啟動(dòng)器。使用正則繞過(guò)認(rèn)證 測(cè)試發(fā)現(xiàn)URL(如/anything-admin-anything)中包含admin和dashboard會(huì)返回403禁止訪問(wèn),如果URL(如/anything-anything)中不包返回404 Not Found。通過(guò)枚舉%00-%FF發(fā)現(xiàn),GET /%0dadmin、GET /%0ddashboard 返回 200 OK。在URL路徑前面中添加%0d 繞過(guò)了登錄,能夠直接訪問(wèn)后臺(tái)。

5. REVIVER上的大規(guī)模分配允許攻擊者遠(yuǎn)程跟蹤和覆蓋所有REVIVER客戶(hù)的虛擬車(chē)牌,跟蹤和管理REVIVER車(chē)隊(duì),并訪問(wèn)、修改和刪除所有用戶(hù)信息

2023年1月3日

2022年10月加利福尼亞宣布電子車(chē)牌合法化。大部分的電子車(chē)牌是一家名字為 Reviver 公司頒發(fā)的。如果想獲取電子車(chē)票,他們需要購(gòu)買(mǎi)Reviver的虛擬電子車(chē)牌。虛擬電子車(chē)牌使用 SIM卡支持遠(yuǎn)程追蹤和更新電子車(chē)牌。Reviver虛擬車(chē)牌的用戶(hù)能夠更新電子車(chē)牌的標(biāo)語(yǔ)、背景、被盜后還能將設(shè)備標(biāo)簽為STOLEN。所有API都在pr-api.rplate.com上。創(chuàng)建的新用戶(hù)在JSON中使用 type 標(biāo)識(shí)用戶(hù)的身份,當(dāng)前為CONSUMER。在密碼重置頁(yè)面JS中發(fā)現(xiàn)了大量的API信息,其中包括用戶(hù)角色,將 role 參數(shù)修改為 CORPORATE,刷新后實(shí)現(xiàn)了權(quán)限提升。在邀請(qǐng)新賬號(hào)注冊(cè)并登錄后,不僅不會(huì)出現(xiàn)認(rèn)證錯(cuò)誤,還能訪問(wèn)車(chē)隊(duì)管理功能。在對(duì)type使用字典爆破發(fā)現(xiàn)異常,REVIVER_ROLE 被修改為了數(shù)字 4,于是遍歷0到100,發(fā)現(xiàn) 0 代表的角色是 REVIVER。在設(shè)置這個(gè)屬性后,重新邀請(qǐng)新用戶(hù),雖然登錄正常,但UI顯示異常,還不能點(diǎn)擊任意按鈕。研究人員猜測(cè),這是因?yàn)殡m然用戶(hù)權(quán)限已經(jīng)提升,但是訪問(wèn)的是用戶(hù)前端網(wǎng)站,而不是后臺(tái)的頁(yè)面,所以出現(xiàn)錯(cuò)誤而無(wú)法操作。于是使用當(dāng)前的超級(jí)管理員用戶(hù)直接調(diào)用 API 成功獲取了其他用戶(hù)的信息、查看車(chē)輛定位、更新電子車(chē)牌、刪除電子車(chē)牌、添加新用戶(hù)。

6. CHIMAERA: 現(xiàn)代、起亞、捷尼賽思車(chē)機(jī)GENW_L系列固件升級(jí)簽名繞過(guò)

2023年1月12日

現(xiàn)代集團(tuán)旗下品牌(現(xiàn)代、起亞、捷尼賽思)車(chē)機(jī)系統(tǒng)升級(jí)包簽名存在缺陷,允許用戶(hù)安裝自定義的固件,如向其中植入后門(mén)、注入CAN報(bào)文等。此研究是在此團(tuán)隊(duì)之前的對(duì) Gen5 代固件的研究(CVE-2020-8539 KOFFEE) 的基礎(chǔ)之上展開(kāi)的。·CVE-2023-26243: 固件解密二進(jìn)制程序在固件解密的過(guò)程中存在信息泄露,允許攻擊者從內(nèi)存中提取AES秘鑰和初始化向量。攻擊者利用這個(gè)漏洞創(chuàng)建自定義的固件,向車(chē)機(jī)中植入后門(mén)等。· CVE-2023-26244：在固件安裝過(guò)程中固件安裝程序 AppDMClient 能夠被攻擊者修改,從而繞過(guò)對(duì)文件 AppUpgrade 和 .lge.upgrade.xml 數(shù)字簽名校驗(yàn)。· CVE-2023-26245:AppUpgrade 程序能夠被篡改,攻擊者能夠繞過(guò)對(duì)固件版本的檢查刷入新版或舊版,甚至是自定義的固件。· CVE-2023-26245: AppUpgrade 程序能夠被篡改,攻擊者能夠繞過(guò)對(duì)固件簽名的檢查,這將間接允許攻擊者安裝自定義的固件。使用 Gen5W_L 系列固件的車(chē)機(jī)均受影響。已測(cè)試的版本包括AE_E_PE_EUR.S5W_L001.001.211214、5W.XXX.S5W_L.001.001.221129。研究員將這些一列的漏洞命名為 CHIMAERA (Custom Hyundai Motor group infotAinmEnt fiRmwAre)

7. 日產(chǎn)北美公司第三方服務(wù)商配置錯(cuò)誤導(dǎo)致數(shù)據(jù)泄露

2023年1月17日

日產(chǎn)汽車(chē)北美公司正式向客戶(hù)發(fā)送數(shù)據(jù)泄露通知,告知2022年因第三方服務(wù)供應(yīng)商發(fā)生數(shù)據(jù)泄露事件,導(dǎo)致約17998名客戶(hù)的信息受到影響。泄露的客戶(hù)信息包括全名、出生日期和日產(chǎn)金融賬戶(hù),不包含社交賬號(hào)和信用卡信息。該通知披露,經(jīng)調(diào)查在軟件測(cè)試期間嵌入在代碼中的數(shù)據(jù),無(wú)意中臨時(shí)存儲(chǔ)在云公共存儲(chǔ)庫(kù)。日產(chǎn)汽車(chē)表示,到目前為止沒(méi)有任何證據(jù)表明這些暴露的信息被濫用,通知客戶(hù)僅是出于謹(jǐn)慎。

8. 西雅圖起訴現(xiàn)代、起亞盜竊案激增(未采用防盜技術(shù))

2023年1月24日

訴訟指控,其他汽車(chē)制造商普遍采用汽車(chē)防盜技術(shù)以確保汽車(chē)在有鑰匙在附近的時(shí)候才能點(diǎn)火。而在美國(guó)仍然有大量的現(xiàn)代汽車(chē)和起亞汽車(chē)沒(méi)有使用防盜技術(shù)。因此,現(xiàn)代和起亞汽車(chē)比其他汽車(chē)更容易被盜。而在歐洲和加拿大的車(chē)型不受影響,因?yàn)榉ㄒ?guī)要求配備有防盜模塊。此前加州奧蘭治縣也提起過(guò)訴訟。盜竊視頻#Kia Boyz在Tiktok等視頻平臺(tái)上瘋狂傳播,盜竊者只需要拆掉汽車(chē)轉(zhuǎn)向柱上的塑料外殼,露出車(chē)匙開(kāi)關(guān)的點(diǎn)火裝置,用一個(gè)USB插頭插入車(chē)匙開(kāi)關(guān),扭動(dòng)數(shù)次便能啟動(dòng)引擎,整個(gè)過(guò)程僅用了數(shù)分鐘甚至數(shù)秒完成。據(jù)統(tǒng)計(jì),2022年7月較2021年同期現(xiàn)代和起亞的盜竊事件增長(zhǎng)了620%。由此,還引發(fā)了一些列社會(huì)安全問(wèn)題。如一些貪玩的年輕人有樣學(xué)樣,更出現(xiàn)偷車(chē)后危險(xiǎn)駕駛、逃避警察追捕和撞車(chē)等事件。紐約水牛城發(fā)生一宗奪命車(chē)禍,6名青少年于2020年10月23日偷走一輛起亞汽車(chē),到了翌日清晨發(fā)生車(chē)禍,5名乘客全部彈出車(chē)外,4人死亡、1名14歲女孩受傷,16歲的男司機(jī)生還。“偷車(chē)挑戰(zhàn) KiaBoyz”懷疑是導(dǎo)致此事的原因。受影響的車(chē)型：Hyundai Elantra, Hyundai Kona,Hyundai Palisade, Hyundai Santa Cruz, Hyundai Santa Fe, Hyundai Sonata, HyundaiTucson, Hyundai Venue, Kia Cadenza, Kia Forte, Kia K900, Kia Niro, Kia Optima,Kia Rio, Kia Sedona, Kia Seltos, Kia Sorrento, Kia Soul, Kia Sportage, KiaStinger, and Kia Telluride針對(duì)此次事件,現(xiàn)代汽車(chē)集團(tuán)召回近400萬(wàn)輛車(chē),并建立網(wǎng)站www.hyundaiantitheft.com 查詢(xún)是否受到影響以及防盜軟件更新預(yù)約服務(wù)。

9. 充電樁管理系統(tǒng)OCPP協(xié)議會(huì)話管理實(shí)現(xiàn)缺陷,可造成拒絕服務(wù)或免費(fèi)充電

2023年2月1日

OCPP(Open Charge Point Protocol,開(kāi)放充電協(xié)議)是一個(gè)全球開(kāi)放性的通訊標(biāo)準(zhǔn),其目的在于解決充電樁和充電管理系統(tǒng)間的互聯(lián)互通。OCPP 支持使用 HTTPS 和Websocket 通信。在 OCPP1.6 中認(rèn)證憑證是可選的,認(rèn)證方式有三種：僅ID、ID和認(rèn)證憑證、ID和客戶(hù)端證書(shū)。在最新的 2.0.1 版本中認(rèn)證憑證是強(qiáng)制要求的。SaiFlow 研究團(tuán)隊(duì)發(fā)現(xiàn) OCPP1.6 Websocket 存在漏洞,可遠(yuǎn)程導(dǎo)致充電樁拒絕服務(wù)或免費(fèi)充電。DOS或免費(fèi)充電取決于充電樁的本地配置,包括是否支持離線身份認(rèn)證并充電、允許離線后給未知車(chē)輛充電(AllowOfflineTxForUnknownId)等。研究中發(fā)現(xiàn),在使用 Websocket 通信中,以 URL(ws://csms.provider.com:8080/webServices/ocpp/CP3211) 中的 ID(CP3211) 作為唯一標(biāo)識(shí)識(shí)別充電樁。攻擊者使用相同的ID,向充電樁管理系統(tǒng)發(fā)起連接請(qǐng)求,將影響正常的會(huì)話連接。不同實(shí)現(xiàn)的充電管理系統(tǒng)因編碼差異,反應(yīng)和影響也有所不同。使用相同的ID發(fā)起新連接,共有四種可能。

1.原連接斷開(kāi),充電樁斷開(kāi)網(wǎng)絡(luò),DOS拒絕充電。一段時(shí)間后會(huì)重連。

2.原連接依然存活,但收不到服務(wù)端返回的響應(yīng)數(shù)據(jù)。充電樁的連接依然存在,不會(huì)建立新連接。攻擊者只能夠從創(chuàng)建的連接中接收來(lái)自充電樁管理系統(tǒng)的敏感數(shù)據(jù)。

3.原連接依然存活,但收不到服務(wù)端返回的響應(yīng)數(shù)據(jù)。新連接能夠收到原連接請(qǐng)求的返回?cái)?shù)據(jù)。

4.兩個(gè)連接都正常,都能獲取請(qǐng)求返回的數(shù)據(jù)。

10. 豐田全球供應(yīng)商信息管理系統(tǒng)認(rèn)證機(jī)制存在漏洞,可獲取大量數(shù)據(jù)

2023年2月6日

豐田 WEB 應(yīng)用全球供應(yīng)商信息管理系統(tǒng)(GSPIMS,GlobalSupplier Preparation Information Management System)用于豐田和供應(yīng)商項(xiàng)目協(xié)作、調(diào)研、采購(gòu)以及其他供應(yīng)鏈管理相關(guān)任務(wù)。GSPIMS 是一個(gè)基于 AG Grid 應(yīng)用開(kāi)發(fā)的 Angular 單頁(yè)應(yīng)用程序。安全研究員 Eaton 在對(duì)豐田云平臺(tái)的7天滲透中,挖掘了4個(gè)嚴(yán)重漏洞。其中一個(gè)最嚴(yán)重的是后門(mén)登錄機(jī)制,只需要知道用戶(hù)郵箱就能登錄進(jìn)入系統(tǒng),包括管理員用戶(hù)。Eaton 在分析JS代碼,并 patch CanActivate、CanActivateChild 兩個(gè)函數(shù)后,能夠訪問(wèn)后臺(tái)頁(yè)面,但無(wú)法獲取數(shù)據(jù)。進(jìn)一步分析后發(fā)現(xiàn),認(rèn)證 Token JWT( JSON Web Token)僅根據(jù)郵箱生成,并不需要密碼。根據(jù)豐田北美郵箱結(jié)構(gòu)firstname.lastname@toyota.com 能夠猜測(cè)出有效用戶(hù)名,或從互聯(lián)網(wǎng)上收集有效的郵箱。向 prd.svcs.gspims.toyota.com/qsp… 發(fā)送 POST 請(qǐng)求,并攜帶有效的郵箱就能夠獲取到 jwtToken。最后把 jwtToken 的值賦給 cookie 中 gspimsAccessToken,就能夠訪問(wèn) GSPIMS,包括查看和修改14K的用戶(hù)賬戶(hù)、敏感文件、項(xiàng)目、供應(yīng)商排名、供應(yīng)商備注等。漏洞已于2022年10月上報(bào)給豐田,豐田在漏洞披露之前以完成修復(fù)——將 createJWT 和findByEmail 請(qǐng)求的 HTTP 返回狀態(tài)修改為了400(Bad Request)。

11. 研究人員通過(guò)模糊測(cè)試發(fā)現(xiàn)畸形音頻文件致大眾捷達(dá)、雪佛蘭探界者播放器崩潰

2023年2月28日

U盤(pán)中的畸形ogg文件致大眾捷達(dá)車(chē)機(jī)音頻播放器崩潰,安全研究員Jangeuntae對(duì)韓版大眾捷達(dá)2021款車(chē)機(jī)音頻解碼器模糊測(cè)試,發(fā)現(xiàn)U盤(pán)中帶有變異的ogg文件能夠?qū)е虏シ牌鞅罎ⅰangeuntae稱(chēng)奔潰可能是由于內(nèi)存相關(guān)的問(wèn)題而觸發(fā)的,進(jìn)一步分析原因,將有可能導(dǎo)致更嚴(yán)重的問(wèn)題,例如遠(yuǎn)程代碼執(zhí)行。大眾車(chē)機(jī)有U盤(pán)插入自動(dòng)播放的特性,利用這一特性Jangeuntae將電腦與車(chē)機(jī)U盤(pán)接口相連,在線持續(xù)生成變異畸形的WAV、MP3、WMA、OGG格式的多媒體文件。每天大約產(chǎn)生20000個(gè)變異的多媒體文件,在模糊測(cè)試程序運(yùn)行一天之后,發(fā)現(xiàn)了這個(gè)缺陷——一個(gè)ogg文件的加載導(dǎo)致播放器崩潰。此缺陷在披露之前已經(jīng)報(bào)告給大眾汽車(chē)。大眾官方表示,經(jīng)過(guò)安全應(yīng)急響應(yīng)團(tuán)隊(duì)的研判此問(wèn)題已得到確認(rèn),并定義為產(chǎn)品質(zhì)量問(wèn)題,將考慮改進(jìn)產(chǎn)品。大眾對(duì)Jangeuntae的研究表示感謝,并期待他的下一個(gè)研究項(xiàng)目。此外,2021 款雪佛蘭探界者音頻解碼器也存在拒絕服務(wù)漏洞,Jangeuntae設(shè)計(jì)了一個(gè)位翻轉(zhuǎn)模糊測(cè)試器,其中生成一個(gè)畸形的mp3音頻導(dǎo)致了播放器崩潰。此缺陷已上報(bào)給通用汽車(chē),并獲得了致謝。

12. PWN2OWN TESLA 兩次被攻陷

2023年3月24日

在溫哥華舉行的 Pwn2Own 比賽中 Synacktiv 安全研究員展示了針對(duì) Tesla Model 3 的兩個(gè)獨(dú)立漏洞。

1.利用網(wǎng)關(guān)電池管理系統(tǒng)存在的 TOCTTOU(time-of-check-to-time-of-use) 漏洞能夠在車(chē)輛運(yùn)行狀態(tài)下打開(kāi)后備箱等。因此,他們獲得了100萬(wàn)美元的現(xiàn)金獎(jiǎng)勵(lì)、10 個(gè) Master of Pwn 積分以及一輛全新的 Model 3。

2.利用藍(lán)牙芯片模組中的堆溢出漏洞和越界寫(xiě)漏洞入侵了特斯拉的信息娛樂(lè)系統(tǒng)。從藍(lán)牙芯片中移動(dòng)到了宿主機(jī)LINUX中,完全控制了車(chē)機(jī),并演示開(kāi)機(jī)動(dòng)畫(huà)篡改、竊取數(shù)據(jù)等。這一漏洞為研究人員贏得了250萬(wàn)美元,以及有史以來(lái)第一個(gè)為特別重要的漏洞和漏洞設(shè)計(jì)的 Tier 2 獎(jiǎng)。 13.CVE-2023-29389: 發(fā)現(xiàn)在野采用CAN 注入盜竊 TOYOTA RAV4 2021

2023年4月3日 在野發(fā)現(xiàn)汽車(chē)盜竊犯使用CAN注入盜竊 Toyota RAV42021, 通過(guò)拆卸大燈旁的保險(xiǎn)杠接入CAN總線,發(fā)送特定的CAN報(bào)文(Key validated, unlock immobilizer),欺騙車(chē)輛認(rèn)為鑰匙是的有效的。數(shù)字鑰匙ECU和車(chē)燈ECU在同一CAN網(wǎng)絡(luò)中,這使得盜賊能夠通過(guò)拆卸保險(xiǎn)杠接入到數(shù)字鑰匙 ECU 所在的CAN網(wǎng)絡(luò)中。由于CAN總線廣播的特性,在車(chē)燈線束上發(fā)送的偽造報(bào)文就好像是從數(shù)字鑰匙發(fā)出的一樣。鑰匙驗(yàn)證有效的報(bào)文經(jīng)過(guò)網(wǎng)關(guān)轉(zhuǎn)發(fā)到動(dòng)力CAN中的發(fā)動(dòng)機(jī)控制ECU,接收后禁用防盜功能。同理也能發(fā)送打開(kāi)車(chē)門(mén)的報(bào)文。安全研究員 Lan Tabor 最初發(fā)現(xiàn)自己的 Toyota RAV4 2021 保險(xiǎn)杠出現(xiàn)異常,三個(gè)月內(nèi)多次被拆開(kāi),最終車(chē)輛失竊。在暗網(wǎng)和 Youtube 上追蹤發(fā)現(xiàn),竊賊使用的是價(jià)格高達(dá) €5000 的緊急啟動(dòng)設(shè)備。該設(shè)備網(wǎng)站提供從匹配虛假鑰匙到緊急啟動(dòng)設(shè)備等百余款產(chǎn)品,據(jù)稱(chēng)是為丟失鑰匙的車(chē)主和信譽(yù)良好的鎖匠提供的。面向的車(chē)型為 Jeep、Maserati、Honda、Renault、Jaguar、Fiat、Peugeot、Nissan、Ford、BMW、Volkswagen、Chrysler、Cadillac、GMC、Toyota。用于此次盜竊的設(shè)備還支持 LexusES LC/LS/NX/RX、Toyota GRSupra/Prius/Highlander/Land Cruiser/RAV4 車(chē)型。 14. 豐田泄露213萬(wàn)輛汽車(chē)敏感數(shù)據(jù)：實(shí)時(shí)位置暴露近10年

2023年5月12日 日本豐田汽車(chē)公司12日承認(rèn),由于云平臺(tái)系統(tǒng)的設(shè)置錯(cuò)誤,其日本車(chē)主數(shù)據(jù)庫(kù)在近10年間“門(mén)戶(hù)大開(kāi)”,約215萬(wàn)日本用戶(hù)的車(chē)輛數(shù)據(jù)蒙受泄露風(fēng)險(xiǎn)。此次事件暴露了2012年1月2日至2023年4月17日期間,使用豐田 T-Coneect G-Link、G-Link Lite及G-BOOK服務(wù)的客戶(hù)信息。由于人為錯(cuò)誤,豐田云平臺(tái)系統(tǒng)的賬戶(hù)性質(zhì)被設(shè)置為“公共”而非“私人”,這導(dǎo)致車(chē)輛的地理位置、識(shí)別號(hào)碼等數(shù)據(jù)處于開(kāi)放狀態(tài)。因此事受影響的范圍僅限于日本境內(nèi)車(chē)輛,涉及注冊(cè)豐田車(chē)載信息服務(wù)、遠(yuǎn)程車(chē)載信息通信等服務(wù)的大約215萬(wàn)用戶(hù),包括豐田旗下品牌雷克薩斯的部分車(chē)主。暴露的詳細(xì)信息中不涉及個(gè)人身份信息,因此除非攻擊者知曉目標(biāo)車(chē)輛的VIN(車(chē)輛識(shí)別碼),否則無(wú)法使用此數(shù)據(jù)來(lái)跟蹤具體個(gè)人。豐田在“Toyota Connected”網(wǎng)站上發(fā)布的第二份聲明,還提到車(chē)外拍攝的視頻記錄在此次事件中暴露的可能性。發(fā)言人稱(chēng),沒(méi)有證據(jù)表明這些數(shù)據(jù)遭泄露、復(fù)制或惡意使用。豐田已更改設(shè)置,修補(bǔ)系統(tǒng),用戶(hù)可照常使用云服務(wù),沒(méi)有必要返廠維修。豐田公司承諾向受到影響的客戶(hù)單獨(dú)發(fā)送致歉通知,并設(shè)立專(zhuān)門(mén)的呼叫中心來(lái)處理這部分車(chē)主的查詢(xún)和請(qǐng)求。

15. 三一重工 TBOX MQTT身份驗(yàn)證不足,可篡改車(chē)隊(duì)控制數(shù)據(jù)和狀態(tài)數(shù)據(jù)

2023年6月15日

2022年11月,ASRG收到社區(qū)安全研究員的漏洞研究報(bào)告,這些漏洞對(duì)三一重工(Sany Heavy Industry Co., Ltd)和其他使用杭州鴻泉物聯(lián)網(wǎng)技術(shù)股份有限公司(Hangzhou Hopechart IoT Technology Co Ltd)生產(chǎn)的同型號(hào)的TBox的主機(jī)廠的車(chē)輛將會(huì)造成嚴(yán)重安全威脅。鴻泉 HQT-401 TBox存在漏洞導(dǎo)致導(dǎo)致MQTT服務(wù)器的地址泄露,而采用鴻泉HQT-401 TBox的三一重工車(chē)輛的服務(wù)器(MQTT后端)的身份驗(yàn)證不足致使攻擊者可以訪問(wèn)甚至篡改整個(gè)車(chē)隊(duì)的控制數(shù)據(jù)和狀態(tài)數(shù)據(jù),其中包含多個(gè)漏洞：

1.MQTT 后端不需要身份驗(yàn)證,允許攻擊者進(jìn)行未經(jīng)授權(quán)的連接。

2.車(chē)輛將其遙測(cè)數(shù)據(jù)(例如GPS位置,速度,里程表,燃料等)作為公共主題中的消息發(fā)布。后端還以 MQTT 在公共主題中發(fā)布的形式向車(chē)輛發(fā)送命令。因此,攻擊者可以訪問(wèn)由后端管理的整個(gè)車(chē)隊(duì)的這些敏感機(jī)密數(shù)據(jù)。

3.車(chē)輛或后端發(fā)送的 MQTT 消息未加密或身份驗(yàn)證。攻擊者可以創(chuàng)建和發(fā)布消息以模擬車(chē)輛或后端。例如,攻擊者可以向后端發(fā)送有關(guān)車(chē)輛位置的錯(cuò)誤信息欺騙后臺(tái)。

4.后端可以通過(guò)在公共主題上發(fā)送特定的 MQTT 消息將數(shù)據(jù)注入車(chē)輛的控制器局域網(wǎng)總線。由于這些消息未經(jīng)身份驗(yàn)證或加密,攻擊者可以冒充后端,創(chuàng)建虛假消息并向后端管理的任何車(chē)輛的控制器局域網(wǎng)(CAN)注入控制數(shù)據(jù)。

16. 蔚來(lái)車(chē)機(jī)存在錯(cuò)誤配置和目錄遍歷漏洞,可提權(quán)至 ROOT

2023年7月1日

盤(pán)古實(shí)驗(yàn)室安全研究員聞?dòng)^行發(fā)現(xiàn) NIO EC6 機(jī)系統(tǒng) Aspen3.2.5 以下版本有一個(gè)具有系統(tǒng)權(quán)限的應(yīng)用(com.nextev.datastatistic)存在錯(cuò)誤配置。利用這個(gè)錯(cuò)誤配置,實(shí)現(xiàn)了從 shell 到 system權(quán)限的提升。另外利用 Android prop 屬性存在的路徑遍歷漏洞,從 system 權(quán)限提升到 Root權(quán)限。此漏洞細(xì)節(jié)首次披露于 2022 年的 MOSEC 安全會(huì)議上。· 從 shell 權(quán)限提升到system 權(quán)限, 在com.nextev.datastatistic 應(yīng)用的 AndroidManifest.xml 配置中 android:debuggable = "true", android:sharedUserId ="android.uid.system"。利用 JDWP 協(xié)議調(diào)試 com.nextev.datastatistic 應(yīng)用實(shí)現(xiàn)了 sytem 權(quán)限(usystem_app:s0 context、uid = 1000)下的任意代碼執(zhí)行。· 從 system 權(quán)限提升至持久化的root 權(quán)限：Aspen 默認(rèn)狀態(tài)沒(méi)有啟用對(duì)內(nèi)核模塊的簽名校驗(yàn),特權(quán)程序可以通過(guò) insmod 加載自己的 ko 文件到內(nèi)核中。/system/bin/setup_touch.sh、platform_app 或者 system_app 可以 setprop "persist.sys.touchscreen" 為類(lèi)似于 "cyttsp6_i2c.ko/../../../../data/system/exploit" 的值, /data/system/exploit.ko 將被插入到內(nèi)核當(dāng)中,在重新啟動(dòng)后為攻擊者提供持久化的root權(quán)限。

17. 非法篡改蔚來(lái)汽車(chē)電池組數(shù)據(jù),故障電池組重新上路

2023年8月4日

上海市公安局嘉定分局網(wǎng)安支隊(duì)在轄區(qū)蔚來(lái)車(chē)企開(kāi)展工作中,發(fā)現(xiàn)部分車(chē)輛的動(dòng)力電池?cái)?shù)據(jù)存在異常。通過(guò)企業(yè)信息系統(tǒng),民警發(fā)現(xiàn)在同一時(shí)間段內(nèi),存在同一ID的動(dòng)力電池在北京、江蘇、上海、福建等多地同時(shí)出現(xiàn)并使用的情況。經(jīng)過(guò)與車(chē)企技術(shù)人員深入溝通,民警發(fā)現(xiàn)這些相同ID號(hào)的車(chē)輛在之前都因交通事故而被后臺(tái)鎖住了電池組,無(wú)法充電和行駛。這些被"克隆"的同一ID號(hào)電池組內(nèi)的數(shù)據(jù)被人為盜刷篡改,即把一套健康完好的電池組數(shù)據(jù)寫(xiě)入了多個(gè)故障電池組內(nèi),從而破解鎖定功能。按照國(guó)家監(jiān)管要求(2018年8月1日起實(shí)施的《新能源汽車(chē)動(dòng)力蓄電池回收利用溯源管理暫行規(guī)定》要求),每一塊用于新能源汽車(chē)的動(dòng)力電池組都有唯一的電池ID編號(hào)(24位電池編碼)。故障電池組經(jīng)克隆后重新上路行駛,極有可能引發(fā)電池短路甚至起火等高危情況,造成極大的安全隱患。專(zhuān)案組從電池后臺(tái)數(shù)據(jù)庫(kù)入手,經(jīng)過(guò)抽絲剝繭的分析,發(fā)現(xiàn)有三個(gè)互聯(lián)網(wǎng)自媒體以汽車(chē)電池“解鎖”為噱頭,發(fā)布相關(guān)教學(xué)視頻。經(jīng)核查,這三個(gè)自媒體平臺(tái)分別對(duì)應(yīng)三個(gè)外省市汽車(chē)修理企業(yè),且涉案車(chē)輛均與這三家企業(yè)有關(guān)聯(lián)。由此,屠某等4名犯罪嫌疑人浮出水面。抓獲屠某、劉某等4名犯罪嫌疑人,查扣芯片讀寫(xiě)器、超級(jí)編程器等作案工具,及時(shí)消除了道路安全隱患。經(jīng)犯罪嫌疑人供述,自2022年以來(lái),該犯罪團(tuán)伙使用工具將多輛正常完好的汽車(chē)電池組內(nèi)的數(shù)據(jù)讀出,后從各種拍賣(mài)平臺(tái)、二手車(chē)商收購(gòu)事故車(chē)和故障電池組,再將完好數(shù)據(jù)寫(xiě)入故障電池組內(nèi),完全覆蓋故障電池組的原有數(shù)據(jù),形成了與母版電池一模一樣的克隆電池組,突破后臺(tái)鎖定功能并使得故障電池組可以重新充電上路。犯罪團(tuán)伙解鎖一塊動(dòng)力電池收取費(fèi)用在1000至3000元不等,累計(jì)獲利約5萬(wàn)元。

18. 使用故障注入越獄特斯拉車(chē)載信息娛樂(lè)系統(tǒng)

2023年8月9日

AMD 安全處理器存在故障注入漏洞,允許繞過(guò)安全啟動(dòng),獲得Tesla 信息娛樂(lè)系統(tǒng)的root權(quán)限與敏感信息。在 BlackHat 2023 上,柏林工業(yè)大學(xué)的三位博士研究生 Christian Werling、Niclas Kühnapfel、Hans Niklas Jacob 以及安全研究員 Oleg Drokin 講解了對(duì) Tesla 采用的 AMD Zen 1 的安全處理器(ASP)的安全啟動(dòng)的破解過(guò)程,采用電壓故障注入繞過(guò)了安全啟動(dòng)對(duì)固件的完整性校驗(yàn),通過(guò)提取固件植入后門(mén)并燒錄回 Flash,獲得了特斯拉車(chē)載信息娛樂(lè)系統(tǒng)的 root 權(quán)限。獲得系統(tǒng) root 權(quán)限后,進(jìn)一步研究了 TPM(Trusted Platform Module)對(duì)象密封和解封的過(guò)程,最終從 NVMe 存儲(chǔ)獲得了系統(tǒng)和用戶(hù)敏感數(shù)據(jù)。提取出了一個(gè)車(chē)輛獨(dú)有的與硬件綁定的RSA密鑰,此密鑰用于 Tesla 內(nèi)部服務(wù)網(wǎng)絡(luò)中對(duì)汽車(chē)進(jìn)行驗(yàn)證和授權(quán)；還能夠解密出加密的用戶(hù)個(gè)人敏感信息,如通訊錄、日歷。

19. 福特漏洞聲明：針對(duì)供應(yīng)商TI披露的WI-FI漏洞提供客戶(hù)指導(dǎo)

2023年8月10日

福特從 Wi-Fi 模組供應(yīng)商德州儀器(TI)了解到,SYNC3 信息娛樂(lè)系統(tǒng)采用的 Wi-Fi 驅(qū)動(dòng)存在緩沖區(qū)溢出漏洞,影響部分福特和林肯汽車(chē)。供應(yīng)商 TI 告知福特發(fā)現(xiàn)了 Wi-Fi 缺陷,并立即采取行動(dòng)進(jìn)行驗(yàn)證、估計(jì)影響并制定緩解措施。福特辰,將很快推出補(bǔ)丁。在線下載補(bǔ)丁程序,并通過(guò) USB 安裝進(jìn)行修復(fù)。當(dāng)前在未推出補(bǔ)丁前,擔(dān)心該漏洞的客戶(hù)只需通過(guò) SYNC 3 信息娛樂(lè)系統(tǒng)的設(shè)置菜單關(guān)閉 WiFi 功能。該漏洞被追蹤為 CVE-2023-29468,位于汽車(chē)信息娛樂(lè)系統(tǒng)中集成的 Wi-Fi 子系統(tǒng)的 WL18xx MCP 驅(qū)動(dòng)程序中,管理楨中沒(méi)有限制 XCC_EXT_1_IE_I 和 XCC_EXT_2_IE_ID 的數(shù)據(jù)長(zhǎng)度,允許 Wi-Fi 范圍內(nèi)的攻擊者使用特制的超長(zhǎng)管理幀觸發(fā)緩沖區(qū)溢出,可能導(dǎo)致遠(yuǎn)程命令執(zhí)行。

20. MOZILLA 發(fā)布對(duì)25個(gè)汽車(chē)品牌個(gè)人隱私安全調(diào)查報(bào)告

2023年9月1日

Mozilla 發(fā)起的對(duì)汽車(chē)、可穿戴設(shè)備、智能家居等智能場(chǎng)景的隱私調(diào)查,發(fā)現(xiàn)汽車(chē)隱私問(wèn)題是最糟糕的。研究人員發(fā)現(xiàn)全球主流汽車(chē)品牌 Chevrolet、Nissan、Toyota、 Kia、Audi、Jeep、Honda、Volkswagen 等通過(guò)傳感器、麥克風(fēng)、攝像頭、收集、應(yīng)用程序以及車(chē)載連接服務(wù)侵入式的深度收集了個(gè)人信息。通常在用戶(hù)沒(méi)有明示同意的情況下,汽車(chē)公司在人們上車(chē)的那一刻就厚顏無(wú)恥的開(kāi)始收集個(gè)人信息。根據(jù)對(duì)25個(gè)汽車(chē)品牌的調(diào)查發(fā)現(xiàn):

1.收集過(guò)多個(gè)人數(shù)據(jù),每個(gè)汽車(chē)品牌都收集了超過(guò)必要的數(shù)據(jù)。包括超親密信息,從醫(yī)療信息、基因信息到性生活；通用汽車(chē)的凱迪拉克、GMC、別克和雪佛蘭在他們的加州隱私聲明中表示,他們可以收集“遺傳、生理、行為和生物特征”。起亞和日產(chǎn)也表示,他們可以收集“遺傳信息”。日產(chǎn)表示,他們可以收集有關(guān)您的“性活動(dòng)”和“情報(bào)”的信息(從個(gè)人數(shù)據(jù)中推斷出來(lái)的),并可以與“營(yíng)銷(xiāo)和促銷(xiāo)合作伙伴”或他們自己的“直接營(yíng)銷(xiāo)目的”共享這些信息。

2.84% 的車(chē)企與服務(wù)提供商、汽車(chē)數(shù)據(jù)中心以及其他不為人知的企業(yè)共享個(gè)人隱私數(shù)據(jù),用于研究、營(yíng)銷(xiāo)或其他模糊的商業(yè)目的。56% 車(chē)企表示能夠共享數(shù)據(jù)給提出請(qǐng)求的政府和執(zhí)法部門(mén)。76%(19家)表示可能將個(gè)人數(shù)據(jù)出售給第三方。保險(xiǎn)公司可能通過(guò)分析駕駛習(xí)慣、駕駛速度、制動(dòng)數(shù)據(jù)來(lái)動(dòng)態(tài)調(diào)整保費(fèi)。

3.92%車(chē)企的車(chē)主無(wú)法管控自己的數(shù)據(jù),25個(gè)品牌中只有2個(gè),支持刪除個(gè)人信息。

4.極少滿(mǎn)足法規(guī)要求,未妥善保管數(shù)據(jù)。過(guò)去三年,86%的汽車(chē)品牌出現(xiàn)了數(shù)據(jù)泄露、黑客攻擊或侵犯車(chē)主隱私。

5.%52(13家)的汽車(chē)品牌收集車(chē)外數(shù)據(jù),包括天氣、路況、交通標(biāo)志以及其他環(huán)境信息。

21. 馬自達(dá)官網(wǎng)被篡改鏈接到色情網(wǎng)站

2023年9月6日

9月6日一網(wǎng)友爆料稱(chēng)自己在點(diǎn)擊瀏覽一汽馬自達(dá)汽車(chē)官方網(wǎng)站時(shí)自動(dòng)跳轉(zhuǎn)出黃色網(wǎng)站頁(yè)面。此事曝光以后馬自達(dá)方面也迅速做出回應(yīng)表示會(huì)盡快讓IT部門(mén)核實(shí)。當(dāng)天下午官方人員回復(fù)并表示由于目前長(zhǎng)安馬自達(dá)和一汽馬自達(dá)已經(jīng)合并原來(lái)的一汽馬自達(dá)官網(wǎng)已經(jīng)棄用因此不排除被他人盜用的情況。隨后在事發(fā)當(dāng)晚馬自達(dá)又發(fā)布了正式聲明表示經(jīng)核實(shí)確實(shí)有非法網(wǎng)站冒充馬自達(dá)官網(wǎng)為了維護(hù)自己的權(quán)利他們已向公安機(jī)關(guān)報(bào)警并提醒大家要警惕網(wǎng)絡(luò)安全。

22. 小鵬 P5/G9 調(diào)試入口被公開(kāi)

2023年9月10日

小鵬官方社區(qū)多人發(fā)布名為 “鵬友大團(tuán)結(jié)” 的帖子,對(duì)于老車(chē)型沒(méi)有OTA獲得新車(chē)型相同的車(chē)機(jī)體驗(yàn),呼吁小鵬官方推進(jìn)。而后在 Github 上公開(kāi) 小鵬P5(OTA3.5.0及之前)或小鵬G9(OTA4.3.1及之前)或小鵬G6(未測(cè)試)或小鵬P7(OTA2.10及之前)或小鵬G3ADB開(kāi)啟方法。工程模式密碼采用一機(jī)一密,可根據(jù)ID計(jì)算得到。

1.打開(kāi)車(chē)機(jī)的撥號(hào)界面輸入#9925111#*屏幕顯示一個(gè)二維碼

2.讀取二維碼獲得ID,格式為XPENGD55xxxxxxxxxxxxxx

3.根據(jù)XPENGD55xxxxxxxxxxxxxx 計(jì)算出解鎖碼如(#0312345678*#)

4.將該解鎖碼輸入車(chē)機(jī)的撥號(hào)界面此時(shí)解鎖碼會(huì)自動(dòng)消失如果沒(méi)有消失請(qǐng)手動(dòng)刪除所有內(nèi)容

5.使用撥號(hào)界面輸入#9387141#* 進(jìn)入成功模式

6.在工程模式中打開(kāi)USB ADB 調(diào)試和 ADB 網(wǎng)絡(luò)調(diào)試。

23. 馬自達(dá)因信息泄露發(fā)布公告致歉

2023年9月15日

9月15日馬自達(dá)發(fā)布聲明稱(chēng)2023年7月24日監(jiān)測(cè)到服務(wù)器遭受外部攻擊者的非法訪問(wèn)可能導(dǎo)致部分個(gè)人信息泄露。但馬自達(dá)強(qiáng)調(diào)被非法訪問(wèn)的服務(wù)器上沒(méi)有存儲(chǔ)任何客戶(hù)個(gè)人信息這部分信息沒(méi)有泄露。對(duì)于此次事件可能給相關(guān)人員帶來(lái)的不便和擔(dān)憂公司深表歉意。可能泄露的是公司管理的部分個(gè)人信息包括公司員工及合作方人員的姓名及電話號(hào)碼共計(jì)約104732份信息。馬自達(dá)表示已禁用了未授權(quán)訪問(wèn)者的ID關(guān)閉了受影響的服務(wù)器。并將相關(guān)情況報(bào)告警察和個(gè)人信息保護(hù)委員會(huì)。將和相關(guān)組織配合確認(rèn)最終影響在外部安全專(zhuān)家的配合下采取適當(dāng)措施。馬自達(dá)表示將嚴(yán)肅對(duì)待此時(shí)事故將采取一切可能的措施如為所有網(wǎng)站和網(wǎng)絡(luò)改善安全系統(tǒng)、增強(qiáng)監(jiān)控系統(tǒng)以防止同類(lèi)事件再次發(fā)生。

24. 360的PWN2OWN 汽車(chē)專(zhuān)項(xiàng)賽路線圖

2023年10月2日

在POC2023安全會(huì)議上,來(lái)自 360 兩位安全研究員Yingjie Cao、Zhe Jing 分享了名為 “A roadmap to $50,000 atPwn2Own Vehicle 2024: Dissecting QNX, and exploiting its vulnerabilities” 的議題,對(duì)QNX進(jìn)行全面剖析,深入探討其架構(gòu)、設(shè)計(jì)和整體安全態(tài)勢(shì);分享了對(duì)使用 QNX 作為信息娛樂(lè)系統(tǒng)的完整攻擊鏈,利用的兩個(gè)漏洞如下。

1.BMP 圖片解析庫(kù) libimg.so.1 中因整數(shù)溢出漏洞在 memcpy 時(shí)引起棧溢出,通過(guò)將返回地址覆蓋為 libc 上的 system 的地址,實(shí)現(xiàn)了任意命令執(zhí)行。

2.內(nèi)核態(tài)與用戶(hù)態(tài)之間的消息傳遞函數(shù) ker_msg_sendv 存在條件競(jìng)爭(zhēng)漏洞 double-fetch,有時(shí)則表現(xiàn)為 TOCTOU,成功利用后從普通權(quán)限提升到了 Root 權(quán)限。

25. 延鋒國(guó)際遭受網(wǎng)絡(luò)攻擊,STELLANTIS 汽車(chē)生產(chǎn)受到影響

2023年11月13日

全球知名車(chē)企斯特蘭蒂斯集團(tuán)(Stellantis)13日表示,由于一家汽車(chē)供應(yīng)商受到網(wǎng)絡(luò)攻擊,集團(tuán)運(yùn)營(yíng)被干擾,克萊斯勒、道奇、吉普和公羊等車(chē)型的生產(chǎn)受到影響。這次網(wǎng)絡(luò)攻擊主要影響中國(guó)供應(yīng)商Yanfeng International Automotive Technology Co. Ltd.（延鋒國(guó)際汽車(chē)技術(shù)有限公司)。13日晚間,該公司官網(wǎng)無(wú)法訪問(wèn)。延鋒汽車(chē)的北美總部位于密歇根州諾維。公司生產(chǎn)多種即時(shí)零部件,包括座椅、內(nèi)飾、電子設(shè)備和其他組件。斯特蘭蒂斯發(fā)言人Anne MarieFortunate發(fā)表聲明,“由于一家外部供應(yīng)商出現(xiàn)問(wèn)題,斯特蘭蒂斯集團(tuán)位于北美的部分裝配廠生產(chǎn)受到干擾。我們正在監(jiān)控情況并與供應(yīng)商合作,減輕事件對(duì)我們運(yùn)營(yíng)的進(jìn)一步影響。”11月27日,勒索軟件組織 Qilin 聲稱(chēng)對(duì)這次攻擊負(fù)責(zé),在暗網(wǎng)上發(fā)布了多個(gè)樣本,以證明他們涉嫌訪問(wèn)延鋒系統(tǒng)和文件,包括財(cái)務(wù)文件、保密協(xié)議、報(bào)價(jià)文件、技術(shù)數(shù)據(jù)表和內(nèi)部報(bào)告。

26. 豐田公司確認(rèn)遭遇美杜莎勒索軟件攻擊

2023年11月16日

豐田金融服務(wù)公司(TFS)證實(shí)遭遇Medusa(美杜莎)勒索軟件組織的攻擊,該公司在歐洲和非洲的系統(tǒng)上檢測(cè)到未經(jīng)授權(quán)的訪問(wèn)。豐田金融服務(wù)公司是豐田汽車(chē)公司的子公司,作為一家全球性企業(yè),其業(yè)務(wù)覆蓋豐田汽車(chē)90%的市場(chǎng),為豐田客戶(hù)提供汽車(chē)融資服務(wù)。Medusa勒索軟件組織在其暗網(wǎng)數(shù)據(jù)泄漏站點(diǎn)的受害者名單中添加了豐田金融服務(wù)公司,要求后者支付800萬(wàn)美元贖金來(lái)刪除泄漏數(shù)據(jù)。Medusa給了豐田10天時(shí)間做出回應(yīng),并可以選擇延長(zhǎng)期限,但每天需要支付1萬(wàn)美元的“滯納金”。為了證明攻擊成果,Medusa發(fā)布了豐田金融的樣本數(shù)據(jù),其中包括財(cái)務(wù)文件、電子表格、采購(gòu)發(fā)票、哈希帳戶(hù)密碼、明文用戶(hù)ID和密碼、協(xié)議、護(hù)照掃描、內(nèi)部組織結(jié)構(gòu)圖、財(cái)務(wù)績(jī)效報(bào)告、員工電子郵件地址等。Medusa還提供了一個(gè).TXT文件,其中包含他們聲稱(chēng)從豐田系統(tǒng)竊取的所有數(shù)據(jù)的文件樹(shù)結(jié)構(gòu)。這些文件大多數(shù)都是德語(yǔ),表明黑客成功訪問(wèn)了豐田在中歐的業(yè)務(wù)系統(tǒng)。在發(fā)給安全媒體BleepingComputer的聲明中,豐田發(fā)言人表示：· 豐田歐洲和非洲金融服務(wù)公司最近在其有限數(shù)量的地點(diǎn)發(fā)現(xiàn)了未經(jīng)授權(quán)的系統(tǒng)活動(dòng)。· 我們關(guān)閉了某些系統(tǒng)以調(diào)查這一活動(dòng)并降低風(fēng)險(xiǎn),并已開(kāi)始與執(zhí)法部門(mén)合作。· 到目前為止,這一事件僅限于豐田金融服務(wù)歐洲和非洲地區(qū)。· 大多數(shù)國(guó)家/地區(qū)已經(jīng)啟動(dòng)系統(tǒng)恢復(fù)流程。

27. 汽車(chē)零配件經(jīng)銷(xiāo)商 AUTOZONE 披露數(shù)據(jù)泄露

2023年11月21日

AutoZone 是美國(guó)最大的汽車(chē)零配件售后市場(chǎng)經(jīng)銷(xiāo)商之一,在美國(guó)、墨西哥、波多黎各、巴西和美屬維爾京群島經(jīng)營(yíng)著 7140 家門(mén)店。遭受網(wǎng)絡(luò)攻擊后,AutoZone在2023年11月21日向緬因州司法部長(zhǎng)辦公室提交了數(shù)據(jù)泄露通知,同時(shí)立刻通知了 184995 名受到數(shù)據(jù)泄露影響的用戶(hù)。MOVEit是一個(gè)由Progress Software開(kāi)發(fā)的文件傳輸應(yīng)用程序,AutoZone 使用它來(lái)存儲(chǔ)和傳輸一些敏感數(shù)據(jù)。全球超過(guò)2000個(gè)組織受到 MOVEit文件傳輸應(yīng)用漏洞影響。2023年5月下旬,Cl0p勒索軟件組織利用流行的MOVEit文件傳輸解決方案中的SQL注入漏洞(CVE-2023-34362)竊取了大量組織的敏感數(shù)據(jù),受害者包括大量知名企業(yè)、政府（例如多個(gè)美國(guó)聯(lián)邦機(jī)構(gòu)和美國(guó)能源部）、金融機(jī)構(gòu)、養(yǎng)老金系統(tǒng)以及其他公共和私人實(shí)體,其中就包括 AutoZone。Cl0p勒索軟件組織竊取了AutoZone系統(tǒng)大量?jī)?nèi)部敏感數(shù)據(jù)。獲取的數(shù)據(jù)大約有1.1GB,包含了員工的姓名、電子郵件地址、零件供應(yīng)細(xì)節(jié)、稅務(wù)信息、工資單文件、Oracle數(shù)據(jù)庫(kù)文件、商店、生產(chǎn)和銷(xiāo)售信息、用戶(hù)的社會(huì)安全號(hào)碼等。AutoZone在發(fā)現(xiàn)數(shù)據(jù)泄露后,臨時(shí)禁用了 MOVEit 應(yīng)用,重建受影響的系統(tǒng),并漏洞修復(fù)。同時(shí)立即啟動(dòng)了調(diào)查,并聘請(qǐng)了外部網(wǎng)絡(luò)安全專(zhuān)家協(xié)助。AutoZone還向受影響的消費(fèi)者發(fā)送了數(shù)據(jù)泄露通知信,告知他們泄露的信息,并提供 Equifax 為期一年的的免費(fèi)欺詐檢測(cè)和身份盜用保護(hù)。AutoZone建議消費(fèi)者定期檢查他們的信用報(bào)告,以防止身份盜用或其他欺詐行為;以及建議消費(fèi)者慎重點(diǎn)擊可疑郵件中的鏈接與下載郵件中的附件。

28. 日產(chǎn)汽車(chē)在澳大利亞和新西蘭遭遇網(wǎng)絡(luò)攻擊

2023年12月7日

12 月7 日,日產(chǎn)澳大利亞、新西蘭官網(wǎng)首頁(yè)發(fā)布公告稱(chēng)遭遇網(wǎng)絡(luò)攻擊,金融服務(wù)系統(tǒng)、部分供應(yīng)商系統(tǒng)、售后服務(wù)等系統(tǒng)受到影響。當(dāng)前正在努力盡快恢復(fù)其系統(tǒng),并將持續(xù)通過(guò)nissan.com.au、nissan.co.nz 發(fā)布事件處理進(jìn)展。日產(chǎn)正在與全球應(yīng)急響應(yīng)團(tuán)隊(duì)以及其他相關(guān)利益相關(guān)者一起調(diào)查此次事件的影響范圍以及是否有任何個(gè)人信息被訪問(wèn)。日產(chǎn)鼓勵(lì)客戶(hù)對(duì)賬戶(hù)保持警惕,包括注意任何異常或詐騙活動(dòng)。同時(shí)日產(chǎn)已經(jīng)通知了澳大利亞網(wǎng)絡(luò)安全中心和新西蘭國(guó)家網(wǎng)絡(luò)安全中心。日產(chǎn)向客戶(hù)保證,因金融服務(wù)系統(tǒng)故障而引起的信用評(píng)級(jí)問(wèn)題將不受影響。

29. 保時(shí)捷內(nèi)燃機(jī)版MACAN不滿(mǎn)足WP.29安全法規(guī)要求將停止在歐洲銷(xiāo)售

2023年12月15日

保時(shí)捷表示,當(dāng)前在售的 Macan 車(chē)型在設(shè)計(jì)研發(fā)時(shí),聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)(UNECE) 網(wǎng)絡(luò)安全法規(guī) WP.29 R155/R156 并未推出,并且由于車(chē)輛已經(jīng)處于產(chǎn)品線末期,更新車(chē)輛以滿(mǎn)足新規(guī)的成本過(guò)高。另外,一輛不符合UNECE WP.29 法規(guī)的汽車(chē),將面臨高達(dá)30000歐元的罰款。因此不得不停售此款熱門(mén)的SUV車(chē)型。這意味著燃油版保時(shí)捷 Macan 是第一個(gè)因網(wǎng)絡(luò)安全問(wèn)題而停售的車(chē)型。根據(jù)聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì) WP.29 法規(guī)規(guī)定,在歐盟銷(xiāo)售的所有新車(chē)都需要遵守“高級(jí)駕駛輔助系統(tǒng)、自動(dòng)駕駛系統(tǒng)和網(wǎng)絡(luò)安全條款”等相關(guān)規(guī)定。R155法規(guī)規(guī)定,2022年7月1日起,新推出的車(chē)系型必須獲得網(wǎng)絡(luò)安全系統(tǒng)型式認(rèn)證(VTA);2024年7月1日起,尚未停產(chǎn)的車(chē)型也必須獲得網(wǎng)絡(luò)安全系統(tǒng)的型式認(rèn)證,才可以在歐盟、英國(guó)、日本和韓國(guó)市場(chǎng)銷(xiāo)售。Macan 一直是保時(shí)捷在歐洲非常重要的車(chē)型,2023年已售超出2萬(wàn)輛。這款廣受歡迎的SUV將于2024年4月在歐盟下架,全球其他地區(qū)暫不受影響。采用PPE平臺(tái)開(kāi)發(fā)的新款純電Mcan將2024年于上市,用于取代燃油版Macan。此外,尚不清楚與Macan采用相同MLB平臺(tái)的奧迪Q5是否受到WP.29網(wǎng)絡(luò)安全法規(guī)的影響。

審核編輯：黃飛