卡巴斯基透露汽车行业脆弱性,威胁司机安全

雅加达 - 全球网络安全公司卡巴斯基(Kaspersky)从其中一家汽车制造商那里发现了连接汽车系统的安全漏洞。

调查结果指出,漏洞源于公众可以访问的承包商应用程序中的零日漏洞。

这种疲劳使攻击者能够接管远程信息处理系统,甚至发送恶意命令,例如在车辆运行时关闭发动机或强制牙齿移动。

安全审计是远程进行的,目标是制造商和承包商基础设施拥有的公共服务。卡巴斯基确定了几项暴露的Web服务。

首先,通过维基应用程序上的零日SSL注射漏洞,通过SSL注射漏洞,允许黑客提取用户列表和密码哈希。由于密码安全政策薄弱,其中一些人被成功预测。

在连接车辆的侧面,卡巴斯基发现一个配置错误的防火墙,以暴露内部服务器。使用以前获得的凭据,他们可以访问文件系统并找到其他提供远程信息处理系统完全控制的承包商帐户。

卡巴斯基银行表示:“最令人担忧的是,研究人员发现了一个固件更新命令,允许他们将改装固件上传到远程通信控制单元(TCU)。

它允许潜在地操纵各种重要功能的车辆,这可能会危及驾驶员和乘客的安全。

卡巴斯基建议承包商限制通过VPN访问互联网服务,将服务与公司网络隔离,实施严格的密码政策,实施2FA,加密敏感数据,并将记录与SIEM系统集成以实时监控。

对于汽车制造商来说,卡巴斯基建议限制车辆网络部分的远程信息平台接入,使用权限列表进行网络交互,禁用SSH密码身份验证,运行具有最低特权的服务,以及确保TCU中的命令真实性,以及SIEM集成。