在2025年安全分析师大会上,卡巴斯基公布了一项安全审计结果,揭露了一个重大安全漏洞,该漏洞允许未经授权访问某汽车制造商的所有联网车辆。
通过利用承包商公开可访问应用程序中的零日漏洞,攻击者成功获取了对车载信息系统的控制权,从而危害了驾乘人员的人身安全。例如,攻击者可以在车辆行驶时强制换挡或关闭发动机。这一发现揭示了汽车行业潜在的网络安全缺陷,促使业界呼吁加强安全措施。
汽车制造商方面
这次安全审计是远程进行的,审计目标是制造商的公开服务以及承包商的基础设施。卡巴斯基发现了一些暴露在外的网络服务。首先,利用Wiki应用程序(一个允许用户协作创建、编辑和管理内容的网络平台)中的零日SQL注入漏洞,成功提取出承包商系统的用户列表及密码哈希值。其中一些由于密码策略薄弱而被猜解出来。通过此突破口,研究人员进一步访问了承包商的问题追踪系统(用于管理项目任务、缺陷的软件工具),其中包含汽车制造商远程信息处理基础设施的敏感配置信息,包括某款车载远程信息服务端的用户密码哈希文件。在现代汽车中,车载信息系统能够实现对联网车辆的各种数据(例如速度、地理位置等)的收集、传输、分析和利用。
联网车辆方面
在联网车辆方面,卡巴斯基发现防火墙配置错误导致内部服务器暴露。研究人员利用之前获取的服务账户密码,访问了服务器的文件系统,并发现了另一个承包商的凭据,从而获得了对车载信息系统基础设施的完全控制权。最令人担忧的是,研究人员发现可通过固件更新指令,将篡改后的固件上传至远程信息控制单元(TCU)。这使他们得以接入车辆的CAN(控制器局域网)总线——该系统连接发动机、传感器等车身部件。随后,包括发动机、变速箱等在内的各种其他系统也被访问。这可能导致对一系列关键车辆功能的操纵,从而危及驾驶员和乘客的安全。
“这些安全漏洞源于汽车行业中相当普遍的问题:公开可访问的网络服务、弱密码、缺乏双因素认证(2FA)以及未加密的敏感数据存储。这次的成功入侵表明,承包商基础设施中的单一薄弱环节可能引发连锁反应,最终导致所有联网车辆全面沦陷。汽车行业必须优先加强网络安全措施,特别是针对第三方系统,以保护驾驶员安全并维护公众对联网汽车技术的信任,”卡巴斯基ICS CERT漏洞研究和评估负责人Artem Zinenko评论说。
卡巴斯基建议承包商通过以下措施加强网络安全防护:通过VPN限制Web服务的互联网访问,将服务系统与企业内部网络隔离,实施严格的密码策略,部署双因素认证(2FA),对敏感数据进行加密,并将日志系统与SIEM平台集成以实现实时监控。
针对汽车制造商,卡巴斯基建议应限制从车辆网段对远程信息平台的访问,采用网络通信白名单机制,禁用SSH密码认证方式,以最小权限运行服务系统,并在远程信息控制单元(TCU)中确保指令真实性,同时实现与SIEM系统的全面集成。
关于卡巴斯基ICS CERT
卡巴斯基 ICS CERT (工业控制系统网络应急响应团队) 主要致力于识别和应对针对工业自动化系统和工业物联网 (IIoT) 的潜在和现有威胁。该团队已成功发现并协助修复了数百个广泛使用的工控系统产品与组件中的漏洞,显著提升了这些关键基础设施系统抵御复杂网络攻击的安全性与韧性。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务,以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情,请访问www.kaspersky.com。
