上周，俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基發(fā)布了一篇博客文章（梅賽德斯-奔馳主機(jī)安全研究報(bào)告），深入分析了梅賽德斯—奔馳用戶體驗(yàn)（MBUX）系統(tǒng)。此次研究主要針對(duì)第一代MBUX系統(tǒng)，卡巴斯基詳細(xì)描述了它的研究發(fā)現(xiàn)，并針對(duì)每個(gè)漏洞發(fā)布了安全公告。

漏洞列表

• CVE-2024-37602
• CVE-2024-37600
• CVE-2024-37603
• CVE-2024-37601
• CVE-2023-34406
• CVE-2023-34397
• CVE-2023-34398
• CVE-2023-34399
• CVE-2023-34400
• CVE-2023-34401
• CVE-2023-34402
• CVE-2023-34403
• CVE-2023-34404

這些漏洞中，部分可用于發(fā)動(dòng)拒絕服務(wù)（DoS）攻擊，另一些則可用于獲取數(shù)據(jù)、執(zhí)行命令注入以及提升權(quán)限?？ò退够C實(shí)，攻擊者如果能夠接觸到目標(biāo)車輛，就可以通過(guò)USB或自定義UPC連接利用某些漏洞，禁用主機(jī)單元中的防盜保護(hù)功能、對(duì)車輛進(jìn)行調(diào)校以及解鎖付費(fèi)服務(wù)。這些漏洞已被分配了2023年和2024年的CVE標(biāo)識(shí)符。

梅賽德斯—奔馳方面表示，他們?cè)缭?022年就已知曉卡巴斯基的研究結(jié)果。同時(shí)指出，研究人員所描述的攻擊場(chǎng)景需要對(duì)車輛進(jìn)行現(xiàn)場(chǎng)物理接觸，并且需要進(jìn)入車輛內(nèi)部，甚至拆卸并打開(kāi)主機(jī)單元，較新的信息娛樂(lè)系統(tǒng)版本不受影響。梅賽德斯—奔馳強(qiáng)調(diào)，其產(chǎn)品和服務(wù)的安全性具有“高優(yōu)先級(jí)”，并呼吁研究人員通過(guò)其漏洞披露計(jì)劃報(bào)告相關(guān)發(fā)現(xiàn)。

此前，該公司還曾因員工泄露GitHub令牌而暴露其IT基礎(chǔ)設(shè)施的安全隱患。一年前，RedHunt Labs曾報(bào)告稱，一名奔馳員工泄露的GitHub令牌可訪問(wèn)公司GitHub企業(yè)服務(wù)器上存儲(chǔ)的所有源代碼。

此次事件也再次提醒汽車行業(yè)，隨著車輛智能化程度的提升，網(wǎng)絡(luò)安全問(wèn)題已成為不容忽視的重要課題。

參考鏈接：https://www.securityweek.com/details-disclosed-for-mercedes-benz-infotainment-vulnerabilities/