(談思汽車訊)2月21日,有媒體報道稱,國外知名產(chǎn)品安全平臺Cybellum存在高危漏洞,由于該平臺被絕大多數(shù)的OEM、Tire1以及檢測機構(gòu)廣泛用于固件安全檢測與管理,消息一經(jīng)發(fā)布,即引發(fā)了業(yè)內(nèi)人士關(guān)注。
01知名安全平臺被曝漏洞,官方反應(yīng)迅速
據(jù)報道,星輿實驗室安全研究員@Delikely與中國汽研安全研究員@Imweekend發(fā)現(xiàn)該平臺存在安全缺陷。
目前,Cybellum已下發(fā)更新修復(fù)了此漏洞。報道顯示,Cybellum于去年6月到9月已向所有客戶發(fā)布并部署了修復(fù)程序,問題的細節(jié)也已于今年2月18日對外公開。
對于該漏洞引發(fā)的關(guān)注,談思汽車留意到,Cybellum官方第一時間在其官網(wǎng)做出了回復(fù):“星輿實驗室和中國汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心的安全研究人員報告的問題存在于Cybellum的QCOW air-gapped的維護服務(wù)器中,該發(fā)行版僅在中國部署,影響了版本 2.15.5 到 2.27。在版本 2.28 中引入并實施了永久修復(fù)。除此之外,我們還檢查了易受攻擊的系統(tǒng),沒有發(fā)現(xiàn)任何被利用的證據(jù)?!?/p>
下為Cybellum官方回應(yīng)全文:
安全更新:解決 Cybellum 的維護服務(wù)器問題 (CVE-2023-42419)
2024年2月21日
我們想告知客戶一個引起我們注意的安全問題,這是我們對透明度和產(chǎn)品持續(xù)安全承諾的一部分。
2023 年 6 月 21 日,星輿實驗室和中國汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心的安全研究人員向 Cybellum的安全團隊報告了一個問題,特別是在 Cybellum 軟件的某個發(fā)行版中。
這個問題是在Cybellum的QCOW air-gapped分布的維護服務(wù)器中發(fā)現(xiàn)的,專門在中國部署,影響版本 為2.15.5到2.27。
它不會影響較舊或較新的版本,包括 Cybellum 1.x。
這個問題源于Cybellum的QCOW發(fā)行版中的一個私有加密密鑰,并且很快就通過應(yīng)用于受影響客戶系統(tǒng)的熱補丁進行了解決。
在2.28版中引入并實現(xiàn)了永久性修復(fù)。除此之外,我們還檢查了易受攻擊的系統(tǒng),沒有發(fā)現(xiàn)被利用的證據(jù)。
要利用這個問題,攻擊者需要滿足兩個條件:
訪問QCOW air-gapped分布的維護服務(wù)器(專門部署在中國)。
獲取管理員接入密鑰。
利用這個問題的可能性非常低,因為它需要深度網(wǎng)絡(luò)滲透并且擁有管理員密鑰。需要強調(diào)的是,這個問題不會影響:
Cybellum 1.x 版本
Cybellum 2.0到2.15.4版本
Cybellum 2.28及以上版本
此外,在中國以外發(fā)行的版本不受影響。
我們感謝星輿實驗室和中國汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心負責任地披露了這個問題。在Cybellum,我們非常認真地對待安全問題,并致力于保持最高的安全標準。我們感謝社區(qū)的警惕和支持幫助我們改進我們的產(chǎn)品。這樣的合作努力對我們提供安全可靠的軟件的持續(xù)使命來說是非常寶貴的。
常見問題
問:這個問題的嚴重度是多少?
答:官方CVSS打分為3.8,這個問題被分類為低嚴重性(LOW SEVERITY)。
問:我如何知道我是否受到影響?
答:如果您在中國使用的是Cybellum的QCOW air-gapped發(fā)行版,2.15.5-2.27版本,您會受到影響。否則,您就不受影響。
問:如果我的版本不受影響,是否需要采取任何行動?
答:您不需要采取任何行動。
問:如何解決這個問題?
答:升級到2.28或更高版本?;蛘哒埪?lián)系support@cybellum.com。
問:這個問題是否已經(jīng)有被潛在攻擊者利用了嗎?
答:據(jù)我們所知,沒有。在2023年7月至8月期間,我們已向所有受影響客戶發(fā)布并部署了一個修復(fù)補 丁。該問題的細節(jié)于2024年2月18日公布。
問:這個問題會影響Cybellum產(chǎn)品安全平臺產(chǎn)生的掃描評估結(jié)果或報告嗎?
答:不會,該問題僅限于維護服務(wù)器,不影響產(chǎn)品安全平臺自身功能。
問:這個問題是否會影響用戶的隱私信息?
答:不,這個問題僅限于維護服務(wù)器,不包括私有信息。
問:這個問題是否起到了“后門”的作用?
答:不,它涉及一個私有加密密鑰,被錯誤地部署在Cybellum的QCOW鏡像中。
問:如何防止此類問題再次發(fā)生?
答:我們通過持續(xù)改進的安全開發(fā)生命周期(SDLC)流程、全面的滲透測試、嚴格的代碼審查和采用 領(lǐng)先的SecDevOps實踐,不斷增強我們的安全協(xié)議。
問:如果我有其他問題怎么辦?
答:請通過security@cybellum.com聯(lián)系我們尋求幫助。
據(jù)了解,Cybellum產(chǎn)品安全平臺是汽車固件安全檢測與管理使用最為廣泛的產(chǎn)品之一,該平臺旨在協(xié)助團隊在開發(fā)全生命周期的每個階段,從概念設(shè)計到開發(fā)再到后期生產(chǎn),都可以識別漏洞。
包括BMW、奧迪、日產(chǎn)、長城、捷豹路虎、合眾汽車等主機廠;電裝、哈曼、維寧爾、弗吉亞、Mobileye等供應(yīng)商;中汽中心、中國汽研、賽迪、賽寶等檢測機構(gòu)均是該安全平臺的用戶,這也是此次漏洞披露引發(fā)大規(guī)模關(guān)注的重要原因。而Cybellum關(guān)于漏洞修復(fù)及影響程度的反饋結(jié)果著實為平臺用戶打了一針定心劑。
02強標發(fā)布時間敲定,全球邁進強監(jiān)管時代
隨著智能網(wǎng)聯(lián)汽車帶來更大便捷性的同時,其面對的網(wǎng)絡(luò)攻擊風險日益增加。據(jù)Upstream Security發(fā)布的《2024全球汽車網(wǎng)絡(luò)安全報告》顯示,2023年,潛在影響數(shù)以千計至數(shù)百萬輛移動資產(chǎn)的高規(guī)模和大規(guī)模事件的數(shù)量比2022年增加了2.5倍,其中95%的攻擊是遠程執(zhí)行的,且64%的網(wǎng)絡(luò)攻擊是由黑客執(zhí)行。
“汽車網(wǎng)絡(luò)安全正處于一個拐點。網(wǎng)絡(luò)事件在復(fù)雜性和影響力上顯著增長,威脅著安全和敏感數(shù)據(jù),并帶來了運營上的重大影響。威脅者的動機正在轉(zhuǎn)向?qū)B接車輛和移動資產(chǎn)的高規(guī)模和大規(guī)模影響?!?Upstream Security首席執(zhí)行官兼聯(lián)合創(chuàng)始人Yoav Levy表示。
除了來自外部的網(wǎng)絡(luò)攻擊風險對車主隱私、車企聲譽造成的影響,政府層面的監(jiān)管也是產(chǎn)業(yè)鏈上下游高度關(guān)注汽車網(wǎng)絡(luò)安全威脅的重要驅(qū)動因素。
自2022年7月起,根據(jù)歐盟的要求,所有新車型需進行R155和R156法規(guī)所要求的型式認證,才能申請整車型式認證(WVTA);但從2024年7月起,所有新車都必須滿足這兩項法規(guī)的要求,才能上市銷售。
值得一提的是,由LG和Cybellum合作設(shè)計推出的汽車網(wǎng)絡(luò)安全管理系統(tǒng)(CSMS)Cockpit平臺,能夠監(jiān)視并維護車輛網(wǎng)絡(luò)安全,簡化OEM的網(wǎng)絡(luò)安全保障和事件響應(yīng)任務(wù),確保車輛數(shù)字安全且符合不斷發(fā)展的網(wǎng)絡(luò)安全法規(guī)。
目前,小鵬、理想、極氪、上汽、比亞迪等國內(nèi)車企均陸續(xù)獲得了R155、R156及VTA認證,邁出了搶占54個海外市場的第一步——出海合規(guī)。
談思汽車整理制表
與此同時,對標R155和R156,國內(nèi)強標《汽車整車信息安全技術(shù)要求》和《汽車軟件升級通用技術(shù)要求》也推出在即。據(jù)業(yè)內(nèi)人士透露,兩項強標將于2025年1月發(fā)布,并擬于2026年1月正式實施。
智能汽車的落地,首先必須解決網(wǎng)絡(luò)數(shù)據(jù)安全難題,隨著強標的正式落地,如何卸除懸在頭頂?shù)倪_摩克里斯之劍,這一車企心心念念的痛點將迎來更明晰的解題方向,中國汽車網(wǎng)絡(luò)數(shù)據(jù)安全行業(yè)的強監(jiān)管也將邁入常態(tài)化,屆時,市場反饋及用戶驅(qū)動將逐步成為智能汽車的新引爆點!
談思AutoSec作為頗具影響力的汽車網(wǎng)絡(luò)安全產(chǎn)業(yè)標桿會議,將持續(xù)攜手業(yè)內(nèi)權(quán)威大咖,深研汽車安全產(chǎn)業(yè),為行業(yè)源源不斷地呈現(xiàn)最新洞見和前沿技術(shù)實踐,同時賦能供需對接及產(chǎn)業(yè)創(chuàng)新,引領(lǐng)智能網(wǎng)聯(lián)汽車安全生態(tài)圈發(fā)展!
審核編輯 黃宇
-
服務(wù)器
+關(guān)注
關(guān)注
12文章
9160瀏覽量
85421 -
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3159瀏覽量
59758
發(fā)布評論請先 登錄
相關(guān)推薦
評論