为辰信安:车联网高危漏洞预警,对车端可能造成重大安全风险
2023-2-18 18:17:22 Author: 谈思实验室(查看原文) 阅读量:21 收藏

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

近日,为辰安全实验室监测到部分智能网联汽车使用的开源项目busybox代码执行漏洞(CVE-2022-30065)。该漏洞影响多数车机娱乐系统IVI、TBOX、仪表等系统安全,截至发稿,Busybox官方已发布修复版本。 

Busybox是一个遵循GPL协议、以自由软件形式发行的应用程序。Busybox在单一的可执行文件中提供了精简的Unix工具集,可运行于多款POSIX环境的操作系统,例如Linux,Hurd,QNX,FreeBSD等等。由于Busybox可执行文件的文件比较小,使得它在智能汽车上运用非常广泛。 该漏洞由于Busybox的AWK模块使用释放后的内存,并且在copyvar函数中处理特制的AWK模式时可导致代码执行。
地址:https://www.busybox.net/ 

该漏洞为高危漏洞,官方CVSS评分7.8,对车端可能造成重大安全风险——

  • 可导致程序崩溃、权限提升,从而使车辆的业务功能失效,严重可导致车辆停止工作或者丧失控制权,系统崩溃时被执行其他攻击的风险激增。

  • 可配合其它远程漏洞,通过非法控车,获取例如像车辆定位数据、车主身份信息、车辆操作历史等一系列敏感信息。黑客可利用这些信息来实施身份盗窃、勒索、追踪等恶意行为。

  • 配合信息泄露漏洞如用于维持权限,则意味着黑客可以在系统中长期潜伏并继续进行攻击活动,而不被发现或清除。黑客可以利用这个漏洞来获取管理员权限并修改系统配置,或者在受感染的车辆上执行恶意代码。这可能会对车辆和驾驶员的安全造成严重威胁。

Busybox ≤ 1.35-X的车辆将受到安全威胁

 

据评估统计,超过1.58亿的智能终端上使用了Busybox 。这其中,有超过1亿智能终端上的Busybox 版本低于1.35,智能网联汽车系统中较普遍使用Busybox组件。

鉴于受影响车辆较多,为辰安全实验室建议尽快将组件升级至官方最新版本。

为辰信安支持对当前漏洞进行检测验证。

文章来源:为辰信安

码上报名

2023第六届无人驾驶及智能驾舱中国峰会,5月11-12日,上海

码上报名

AutoSec 7周年年会暨中国汽车网络安全与数据安全合规峰会,5月11-12日,上海

更多文章

智能网联汽车信息安全综述

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员

END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。

每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全功能安全自动驾驶TARA渗透测试SOTIFWP.29以太网物联网安全等,现专题社群仍然开放,入满即止。

扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。

谈思实验室,为汽车科技赋能,推动产业创新发展!


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247518838&idx=1&sn=71e29feb7cd942733708b8d4649985c0&chksm=e927ceadde5047bbbbcc5f9dca9aea5914d12aaaac2cf53408d6d0de37c7ee08f0a55229aad1#rd
如有侵权请联系:admin#unsafe.sh