資安專家發現搭載在各款 Mercedes-Benz 乘用車內的資訊娛樂系統,內含五個資安漏洞,其中四個屬於可讓駭侵者遠端執行任意程式碼的嚴重漏洞。
搭載在各款 Mercedes-Benz 乘用車內的資訊娛樂系統,內含五個資安漏洞,其中四個屬於可讓駭侵者遠端執行任意程式碼的嚴重漏洞。
Mercedes-Benz 的總公司戴姆勒(Daimler)於 2020 年 12 月與騰訊安全科恩實驗室(Tencent Security Keen Lab)合作,進行搭載在各款 Mercedes-Benz 乘用車內的資訊娛樂系統 Mercedes-Benz User Experience(MBUX)的預防性檢查,加強系統的資安防護。
研究人員檢測出五個資安漏洞,其中四個屬於可讓駭侵者遠端執行任意程式碼的嚴重漏洞。
五個資安漏洞 CVE 編號為 CVE-2021-23906、CVE-2021-23907、CVE-2021-23908、CVE-2021-23909、CVE-2021-23910,可以讓外部駭侵者在其資訊娛樂系統上遠端執行任意程式碼,但無法介入汽車的實體功能,如控制方向盤或剎車系統。
這些資安漏洞存於 Mercedes-Benz 自 2018 年起開始搭載於 A-Class 車系,現已成為所有 Mercedes-Benz 乘用車系車內標準配備的 MBUX 資訊娛樂系統之內。
研究報告指出,這些漏洞存在的主因,是因為 MBUX 採用的 Linux 系統核心版本過於老舊,無法防禦特定攻擊手法;駭侵者可能透過 MBUX 使用的瀏覽器 Javascript 引擎、WiFi 晶片原本就有的缺陷、藍牙連線堆疊、USB 連線功能和第三方應用程式等方式,來攻擊這些漏洞。
研究人員在報告中指出,在成功利用這些漏洞後,研究人員成功建立一個可持續執行的 web shell,擁有 root 權限,可以解除汽車的防盜系統、注入持續執行的後門,並可以控制車內的照明、遮陽罩等設備,但無法控制車輛的行駛機能。
在 2020 年 11 月 進行預防性檢查後,已於 2021 年 1 月發布資安更新。
- CVE編號:CVE-2021-23906、CVE-2021-23907、CVE-2021-23908、CVE-2021-23909、CVE-2021-23910
- 影響產品/版本:Mercedes-Benz 全乘用車系
- 解決方案:Mercedes-Benz 已於 2021 年 1 月發布資安更新版本
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-4747-f8934-1.html
沒有留言:
張貼留言