av免费福利片在线播放,99热精品久久只有精品,18video性欧美19sex,ysl蜜桃色www,国产精品一区二区久久国产

泡泡網(wǎng)新聞頻道 PCPOP首頁      /      新聞頻道     /      動態(tài)    /    正文

車載系統(tǒng)重大安全隱患:卡巴斯基發(fā)現(xiàn)威脅車輛安全的漏洞

測試標題車載系統(tǒng)重大安全隱患:卡巴斯基發(fā)現(xiàn)威脅車輛安全的漏洞
2025年11月03日 11:44作者:網(wǎng)絡編輯:黃頁
分享

  在2025年安全分析師大會上,卡巴斯基公布了一項安全審計結果,揭露了一個重大安全漏洞,該漏洞允許未經(jīng)授權訪問某汽車制造商的所有聯(lián)網(wǎng)車輛。

  通過利用承包商公開可訪問應用程序中的零日漏洞,攻擊者成功獲取了對車載信息系統(tǒng)的控制權,從而危害了駕乘人員的人身安全。例如,攻擊者可以在車輛行駛時強制換擋或關閉發(fā)動機。這一發(fā)現(xiàn)揭示了汽車行業(yè)潛在的網(wǎng)絡安全缺陷,促使業(yè)界呼吁加強安全措施。

  汽車制造商方面

  這次安全審計是遠程進行的,審計目標是制造商的公開服務以及承包商的基礎設施。卡巴斯基發(fā)現(xiàn)了一些暴露在外的網(wǎng)絡服務。首先,利用Wiki應用程序(一個允許用戶協(xié)作創(chuàng)建、編輯和管理內(nèi)容的網(wǎng)絡平臺)中的零日SQL注入漏洞,成功提取出承包商系統(tǒng)的用戶列表及密碼哈希值。其中一些由于密碼策略薄弱而被猜解出來。通過此突破口,研究人員進一步訪問了承包商的問題追蹤系統(tǒng)(用于管理項目任務、缺陷的軟件工具),其中包含汽車制造商遠程信息處理基礎設施的敏感配置信息,包括某款車載遠程信息服務端的用戶密碼哈希文件。在現(xiàn)代汽車中,車載信息系統(tǒng)能夠實現(xiàn)對聯(lián)網(wǎng)車輛的各種數(shù)據(jù)(例如速度、地理位置等)的收集、傳輸、分析和利用。

  聯(lián)網(wǎng)車輛方面

  在聯(lián)網(wǎng)車輛方面,卡巴斯基發(fā)現(xiàn)防火墻配置錯誤導致內(nèi)部服務器暴露。研究人員利用之前獲取的服務賬戶密碼,訪問了服務器的文件系統(tǒng),并發(fā)現(xiàn)了另一個承包商的憑據(jù),從而獲得了對車載信息系統(tǒng)基礎設施的完全控制權。最令人擔憂的是,研究人員發(fā)現(xiàn)可通過固件更新指令,將篡改后的固件上傳至遠程信息控制單元(TCU)。這使他們得以接入車輛的CAN(控制器局域網(wǎng))總線——該系統(tǒng)連接發(fā)動機、傳感器等車身部件。隨后,包括發(fā)動機、變速箱等在內(nèi)的各種其他系統(tǒng)也被訪問。這可能導致對一系列關鍵車輛功能的操縱,從而危及駕駛員和乘客的安全。

  “這些安全漏洞源于汽車行業(yè)中相當普遍的問題:公開可訪問的網(wǎng)絡服務、弱密碼、缺乏雙因素認證(2FA)以及未加密的敏感數(shù)據(jù)存儲。這次的成功入侵表明,承包商基礎設施中的單一薄弱環(huán)節(jié)可能引發(fā)連鎖反應,最終導致所有聯(lián)網(wǎng)車輛全面淪陷。汽車行業(yè)必須優(yōu)先加強網(wǎng)絡安全措施,特別是針對第三方系統(tǒng),以保護駕駛員安全并維護公眾對聯(lián)網(wǎng)汽車技術的信任,”卡巴斯基ICS CERT漏洞研究和評估負責人Artem Zinenko評論說。

  卡巴斯基建議承包商通過以下措施加強網(wǎng)絡安全防護:通過VPN限制Web服務的互聯(lián)網(wǎng)訪問,將服務系統(tǒng)與企業(yè)內(nèi)部網(wǎng)絡隔離,實施嚴格的密碼策略,部署雙因素認證(2FA),對敏感數(shù)據(jù)進行加密,并將日志系統(tǒng)與SIEM平臺集成以實現(xiàn)實時監(jiān)控。

  針對汽車制造商,卡巴斯基建議應限制從車輛網(wǎng)段對遠程信息平臺的訪問,采用網(wǎng)絡通信白名單機制,禁用SSH密碼認證方式,以最小權限運行服務系統(tǒng),并在遠程信息控制單元(TCU)中確保指令真實性,同時實現(xiàn)與SIEM系統(tǒng)的全面集成。

  關于卡巴斯基ICS CERT

  卡巴斯基 ICS CERT (工業(yè)控制系統(tǒng)網(wǎng)絡應急響應團隊) 主要致力于識別和應對針對工業(yè)自動化系統(tǒng)和工業(yè)物聯(lián)網(wǎng) (IIoT) 的潛在和現(xiàn)有威脅。該團隊已成功發(fā)現(xiàn)并協(xié)助修復了數(shù)百個廣泛使用的工控系統(tǒng)產(chǎn)品與組件中的漏洞,顯著提升了這些關鍵基礎設施系統(tǒng)抵御復雜網(wǎng)絡攻擊的安全性與韌性。

  關于卡巴斯基

  卡巴斯基是一家成立于1997年的全球網(wǎng)絡安全和數(shù)字隱私公司。迄今為止,卡巴斯基已保護超過十億臺設備免受新興網(wǎng)絡威脅和針對性攻擊。卡巴斯基不斷將深度威脅情報和安全技術轉化成創(chuàng)新的安全解決方案和服務,為全球的個人用戶、企業(yè)、關鍵基礎設施和政府提供安全保護。該公司全面的安全產(chǎn)品組合包括領先的個人設備數(shù)字生活保護、面向企業(yè)的專業(yè)安全產(chǎn)品和服務,以及用于對抗復雜且不斷演變的數(shù)字威脅的網(wǎng)絡免疫解決方案。我們?yōu)閿?shù)百萬個人用戶及近20萬企業(yè)客戶守護他們最珍視的數(shù)字資產(chǎn)。要了解更多詳情,請訪問www.kaspersky.com。

特別提醒:本網(wǎng)信息來自于互聯(lián)網(wǎng),目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內(nèi)容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權益,請及時聯(lián)系我們,本站將會在24小時內(nèi)處理完畢。
0人已贊

關注我們

泡泡網(wǎng)

手機掃碼關注