(談思汽車訊)2月21日,有媒體報(bào)道稱,國(guó)外知名產(chǎn)品安全平臺(tái)Cybellum存在高危漏洞,由于該平臺(tái)被絕大多數(shù)的OEM、Tire1以及檢測(cè)機(jī)構(gòu)廣泛用于固件安全檢測(cè)與管理,消息一經(jīng)發(fā)布,即引發(fā)了業(yè)內(nèi)人士關(guān)注。
01知名安全平臺(tái)被曝漏洞,官方反應(yīng)迅速
據(jù)報(bào)道,星輿實(shí)驗(yàn)室安全研究員@Delikely與中國(guó)汽研安全研究員@Imweekend發(fā)現(xiàn)該平臺(tái)存在安全缺陷。
目前,Cybellum已下發(fā)更新修復(fù)了此漏洞。報(bào)道顯示,Cybellum于去年6月到9月已向所有客戶發(fā)布并部署了修復(fù)程序,問(wèn)題的細(xì)節(jié)也已于今年2月18日對(duì)外公開。
對(duì)于該漏洞引發(fā)的關(guān)注,談思汽車留意到,Cybellum官方第一時(shí)間在其官網(wǎng)做出了回復(fù):“星輿實(shí)驗(yàn)室和中國(guó)汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心的安全研究人員報(bào)告的問(wèn)題存在于Cybellum的QCOW air-gapped的維護(hù)服務(wù)器中,該發(fā)行版僅在中國(guó)部署,影響了版本 2.15.5 到 2.27。在版本 2.28 中引入并實(shí)施了永久修復(fù)。除此之外,我們還檢查了易受攻擊的系統(tǒng),沒(méi)有發(fā)現(xiàn)任何被利用的證據(jù)。”
下為Cybellum官方回應(yīng)全文:
安全更新:解決 Cybellum 的維護(hù)服務(wù)器問(wèn)題 (CVE-2023-42419)
2024年2月21日
我們想告知客戶一個(gè)引起我們注意的安全問(wèn)題,這是我們對(duì)透明度和產(chǎn)品持續(xù)安全承諾的一部分。
2023 年 6 月 21 日,星輿實(shí)驗(yàn)室和中國(guó)汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心的安全研究人員向 Cybellum的安全團(tuán)隊(duì)報(bào)告了一個(gè)問(wèn)題,特別是在 Cybellum 軟件的某個(gè)發(fā)行版中。
這個(gè)問(wèn)題是在Cybellum的QCOW air-gapped分布的維護(hù)服務(wù)器中發(fā)現(xiàn)的,專門在中國(guó)部署,影響版本 為2.15.5到2.27。
它不會(huì)影響較舊或較新的版本,包括 Cybellum 1.x。
這個(gè)問(wèn)題源于Cybellum的QCOW發(fā)行版中的一個(gè)私有加密密鑰,并且很快就通過(guò)應(yīng)用于受影響客戶系統(tǒng)的熱補(bǔ)丁進(jìn)行了解決。
在2.28版中引入并實(shí)現(xiàn)了永久性修復(fù)。除此之外,我們還檢查了易受攻擊的系統(tǒng),沒(méi)有發(fā)現(xiàn)被利用的證據(jù)。
要利用這個(gè)問(wèn)題,攻擊者需要滿足兩個(gè)條件:
訪問(wèn)QCOW air-gapped分布的維護(hù)服務(wù)器(專門部署在中國(guó))。
獲取管理員接入密鑰。
利用這個(gè)問(wèn)題的可能性非常低,因?yàn)樗枰疃染W(wǎng)絡(luò)滲透并且擁有管理員密鑰。需要強(qiáng)調(diào)的是,這個(gè)問(wèn)題不會(huì)影響:
Cybellum 1.x 版本
Cybellum 2.0到2.15.4版本
Cybellum 2.28及以上版本
此外,在中國(guó)以外發(fā)行的版本不受影響。
我們感謝星輿實(shí)驗(yàn)室和中國(guó)汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心負(fù)責(zé)任地披露了這個(gè)問(wèn)題。在Cybellum,我們非常認(rèn)真地對(duì)待安全問(wèn)題,并致力于保持最高的安全標(biāo)準(zhǔn)。我們感謝社區(qū)的警惕和支持幫助我們改進(jìn)我們的產(chǎn)品。這樣的合作努力對(duì)我們提供安全可靠的軟件的持續(xù)使命來(lái)說(shuō)是非常寶貴的。
常見問(wèn)題
問(wèn):這個(gè)問(wèn)題的嚴(yán)重度是多少?
答:官方CVSS打分為3.8,這個(gè)問(wèn)題被分類為低嚴(yán)重性(LOW SEVERITY)。
問(wèn):我如何知道我是否受到影響?
答:如果您在中國(guó)使用的是Cybellum的QCOW air-gapped發(fā)行版,2.15.5-2.27版本,您會(huì)受到影響。否則,您就不受影響。
問(wèn):如果我的版本不受影響,是否需要采取任何行動(dòng)?
答:您不需要采取任何行動(dòng)。
問(wèn):如何解決這個(gè)問(wèn)題?
答:升級(jí)到2.28或更高版本。或者請(qǐng)聯(lián)系support@cybellum.com。
問(wèn):這個(gè)問(wèn)題是否已經(jīng)有被潛在攻擊者利用了嗎?
答:據(jù)我們所知,沒(méi)有。在2023年7月至8月期間,我們已向所有受影響客戶發(fā)布并部署了一個(gè)修復(fù)補(bǔ) 丁。該問(wèn)題的細(xì)節(jié)于2024年2月18日公布。
問(wèn):這個(gè)問(wèn)題會(huì)影響Cybellum產(chǎn)品安全平臺(tái)產(chǎn)生的掃描評(píng)估結(jié)果或報(bào)告嗎?
答:不會(huì),該問(wèn)題僅限于維護(hù)服務(wù)器,不影響產(chǎn)品安全平臺(tái)自身功能。
問(wèn):這個(gè)問(wèn)題是否會(huì)影響用戶的隱私信息?
答:不,這個(gè)問(wèn)題僅限于維護(hù)服務(wù)器,不包括私有信息。
問(wèn):這個(gè)問(wèn)題是否起到了“后門”的作用?
答:不,它涉及一個(gè)私有加密密鑰,被錯(cuò)誤地部署在Cybellum的QCOW鏡像中。
問(wèn):如何防止此類問(wèn)題再次發(fā)生?
答:我們通過(guò)持續(xù)改進(jìn)的安全開發(fā)生命周期(SDLC)流程、全面的滲透測(cè)試、嚴(yán)格的代碼審查和采用 領(lǐng)先的SecDevOps實(shí)踐,不斷增強(qiáng)我們的安全協(xié)議。
問(wèn):如果我有其他問(wèn)題怎么辦?
答:請(qǐng)通過(guò)security@cybellum.com聯(lián)系我們尋求幫助。
據(jù)了解,Cybellum產(chǎn)品安全平臺(tái)是汽車固件安全檢測(cè)與管理使用最為廣泛的產(chǎn)品之一,該平臺(tái)旨在協(xié)助團(tuán)隊(duì)在開發(fā)全生命周期的每個(gè)階段,從概念設(shè)計(jì)到開發(fā)再到后期生產(chǎn),都可以識(shí)別漏洞。
包括BMW、奧迪、日產(chǎn)、長(zhǎng)城、捷豹路虎、合眾汽車等主機(jī)廠;電裝、哈曼、維寧爾、弗吉亞、Mobileye等供應(yīng)商;中汽中心、中國(guó)汽研、賽迪、賽寶等檢測(cè)機(jī)構(gòu)均是該安全平臺(tái)的用戶,這也是此次漏洞披露引發(fā)大規(guī)模關(guān)注的重要原因。而Cybellum關(guān)于漏洞修復(fù)及影響程度的反饋結(jié)果著實(shí)為平臺(tái)用戶打了一針定心劑。
02強(qiáng)標(biāo)發(fā)布時(shí)間敲定,全球邁進(jìn)強(qiáng)監(jiān)管時(shí)代
隨著智能網(wǎng)聯(lián)汽車帶來(lái)更大便捷性的同時(shí),其面對(duì)的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)日益增加。據(jù)Upstream Security發(fā)布的《2024全球汽車網(wǎng)絡(luò)安全報(bào)告》顯示,2023年,潛在影響數(shù)以千計(jì)至數(shù)百萬(wàn)輛移動(dòng)資產(chǎn)的高規(guī)模和大規(guī)模事件的數(shù)量比2022年增加了2.5倍,其中95%的攻擊是遠(yuǎn)程執(zhí)行的,且64%的網(wǎng)絡(luò)攻擊是由黑客執(zhí)行。
“汽車網(wǎng)絡(luò)安全正處于一個(gè)拐點(diǎn)。網(wǎng)絡(luò)事件在復(fù)雜性和影響力上顯著增長(zhǎng),威脅著安全和敏感數(shù)據(jù),并帶來(lái)了運(yùn)營(yíng)上的重大影響。威脅者的動(dòng)機(jī)正在轉(zhuǎn)向?qū)B接車輛和移動(dòng)資產(chǎn)的高規(guī)模和大規(guī)模影響。” Upstream Security首席執(zhí)行官兼聯(lián)合創(chuàng)始人Yoav Levy表示。
除了來(lái)自外部的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)對(duì)車主隱私、車企聲譽(yù)造成的影響,政府層面的監(jiān)管也是產(chǎn)業(yè)鏈上下游高度關(guān)注汽車網(wǎng)絡(luò)安全威脅的重要驅(qū)動(dòng)因素。
自2022年7月起,根據(jù)歐盟的要求,所有新車型需進(jìn)行R155和R156法規(guī)所要求的型式認(rèn)證,才能申請(qǐng)整車型式認(rèn)證(WVTA);但從2024年7月起,所有新車都必須滿足這兩項(xiàng)法規(guī)的要求,才能上市銷售。
值得一提的是,由LG和Cybellum合作設(shè)計(jì)推出的汽車網(wǎng)絡(luò)安全管理系統(tǒng)(CSMS)Cockpit平臺(tái),能夠監(jiān)視并維護(hù)車輛網(wǎng)絡(luò)安全,簡(jiǎn)化OEM的網(wǎng)絡(luò)安全保障和事件響應(yīng)任務(wù),確保車輛數(shù)字安全且符合不斷發(fā)展的網(wǎng)絡(luò)安全法規(guī)。
目前,小鵬、理想、極氪、上汽、比亞迪等國(guó)內(nèi)車企均陸續(xù)獲得了R155、R156及VTA認(rèn)證,邁出了搶占54個(gè)海外市場(chǎng)的第一步——出海合規(guī)。
談思汽車整理制表
與此同時(shí),對(duì)標(biāo)R155和R156,國(guó)內(nèi)強(qiáng)標(biāo)《汽車整車信息安全技術(shù)要求》和《汽車軟件升級(jí)通用技術(shù)要求》也推出在即。據(jù)業(yè)內(nèi)人士透露,兩項(xiàng)強(qiáng)標(biāo)將于2025年1月發(fā)布,并擬于2026年1月正式實(shí)施。
智能汽車的落地,首先必須解決網(wǎng)絡(luò)數(shù)據(jù)安全難題,隨著強(qiáng)標(biāo)的正式落地,如何卸除懸在頭頂?shù)倪_(dá)摩克里斯之劍,這一車企心心念念的痛點(diǎn)將迎來(lái)更明晰的解題方向,中國(guó)汽車網(wǎng)絡(luò)數(shù)據(jù)安全行業(yè)的強(qiáng)監(jiān)管也將邁入常態(tài)化,屆時(shí),市場(chǎng)反饋及用戶驅(qū)動(dòng)將逐步成為智能汽車的新引爆點(diǎn)!
談思AutoSec作為頗具影響力的汽車網(wǎng)絡(luò)安全產(chǎn)業(yè)標(biāo)桿會(huì)議,將持續(xù)攜手業(yè)內(nèi)權(quán)威大咖,深研汽車安全產(chǎn)業(yè),為行業(yè)源源不斷地呈現(xiàn)最新洞見和前沿技術(shù)實(shí)踐,同時(shí)賦能供需對(duì)接及產(chǎn)業(yè)創(chuàng)新,引領(lǐng)智能網(wǎng)聯(lián)汽車安全生態(tài)圈發(fā)展!
審核編輯 黃宇
-
服務(wù)器
+關(guān)注
關(guān)注
13文章
9759瀏覽量
87651 -
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
11文章
3335瀏覽量
61313
發(fā)布評(píng)論請(qǐng)先 登錄
SGS與長(zhǎng)春汽車檢測(cè)中心達(dá)成戰(zhàn)略合作
長(zhǎng)安汽車構(gòu)建全流程智能網(wǎng)聯(lián)汽車OTA升級(jí)能力體系
肇觀電子持續(xù)推動(dòng)汽車智能化升級(jí)
貞光科技代理紫光同芯T97-415E汽車安全芯片,助力全球智能汽車安全升級(jí),加速“出海”步伐

密碼賦能|事關(guān)智能網(wǎng)聯(lián)汽車產(chǎn)品準(zhǔn)入、召回及軟件在線升級(jí)管理

充電樁消防數(shù)據(jù)監(jiān)管平臺(tái):守護(hù)充電安全的新篇章
理想汽車積極推動(dòng)智能駕駛高質(zhì)量發(fā)展
微軟Outlook曝高危安全漏洞
充電樁消防數(shù)據(jù)監(jiān)管平臺(tái)與消防棚:構(gòu)建安全充電環(huán)境的雙保險(xiǎn)
Arm平臺(tái)助力未來(lái)汽車功能安全
汽車雷達(dá)回波發(fā)生器的技術(shù)原理和應(yīng)用場(chǎng)景
基于Arm平臺(tái)的ADAS引領(lǐng)汽車安全未來(lái)
安科瑞銀行用電安全監(jiān)管的必要性分析,能起到什么關(guān)鍵的作用?

華盛昌BS-150內(nèi)窺鏡助力提升汽車檢修效率
新能源汽車檢測(cè)維修解決方案

評(píng)論