青骥信息安全编译技术专题
安全事件
2021年,复杂的攻击有所增加,这给整个汽车生态系统和地方政府带来了挑战,他们致力于寻找网络安全解决方案来对抗所有现有和发展中的攻击媒介,并打击黑帽行为者。
随着 UNECE、ISO 和 SAE 实施新的标准和法规,这些措施是否会阻止黑帽行为者或促使他们制定更复杂的程序还有待观察。
2021年的主要事件
七月:黑客入侵了欧洲 OEM 车辆的 CAN 总线,黑客能够将车辆数据无线传输到第三方设备。
谁在进攻?
2021 年,大多数攻击都是由黑帽黑客实施的。
虽然白帽黑客操纵系统并发现漏洞以进行教学研究以提高车辆的网络安全性,但黑帽黑客的议程经常与犯罪活动一致。
2021 年黑帽依旧超过白帽黑客
2021年黑客攻击占比从2020年49.3% 上涨到56.9%
CVES 的优先级如何?
通用漏洞评分系统 CVSS 是一种漏洞评分系统,旨在提供一种开放和标准化的 CVE 评级方法。CVSS 通过传达漏洞的基础、时间和环境属性,帮助组织优先考虑和协调对安全漏洞的联合响应。给予每个漏洞的 CVSS 分数定义它是严重、高、中、低还是无。
2019–2021年发现自动驾驶相关CVEs的数量:
截止目前,涉及到智能汽车产业的CVEs共232个,相比2020年的33个,2021年达139个。
一般来说,CVSS 分数具有实际应用,因此会影响作为产品供应链一部分的公司的安全团队、开发人员和研究人员,优先考虑修补这些漏洞、分配资源、投入更多时间和人力资源,以及检查漏洞是否已被利用。
在汽车行业,一个零部件可以被多个OEM在不同的环境中使用。 因此,不同的 OEM 无法做到均发现同一个零部件的漏洞。 风险评估的这一方面也在ISO/SAE 21434 标准的风险评估方法中明确指出来了。
网络安全公司不应忽视任何漏洞,并不断寻找可能影响其产品的所有漏洞被滥用或利用的方法,包括审查、研究和修补低分和中等分的事件。
物理访问与远程访问
我们的分析师将网络安全事件分为两大类:物理攻击,黑客需要对其目标进行物理访问;远程攻击,黑客可以在没有物理连接到汽车的情况下从近距离或远距离进行攻击。
2021 年 1 月,一名研究人员入侵了一家亚洲 OEM 车辆中的信息娱乐单元。黑客在信息娱乐系统中发现了一个漏洞,通过插入 USB 设备,他能够获得系统的 root shell 访问权限。
2021 年 7 月在英国发生了一起近程攻击的例子,当时一辆欧洲制造的车辆在其车主家外被黑客入侵并被盗,原因是远程无钥匙进入系统被利用和滥用。 窃贼使用针对房屋的中继攻击装置启动被盗汽车的点火装置并将其开走。
虽然远程攻击主要发生在特定的白帽控制环境中,但专家担心增加的连接性意味着黑帽攻击者执行此攻击只是时间问题。
2021 年的短程与远程攻击
从 2010 年到 2021 年,报告的攻击中有 84.5% 是远程攻击,而 15.5% 需要对目标进行物理访问。随着车辆中联网零部件数量的增加以及通过蜂窝网络实现远程访问变得更加便利,这种趋势可能会持续下去。
2021 年远程攻击的数量大大超过物理攻击
随着车辆变得更加互联,通过对汽车进行物理访问以对其进行入侵的需求显着减少。
常见漏洞和暴露的新分类
常见漏洞和暴露 (CVE) 是公认的和分类的网络安全风险,可以在整个汽车生态系统中快速引用。这些威胁通常直接在 OEM 产品上发现;但是,它们也可能出现在 OEM 的供应链公司的产品中。
仅在 2021 年,就有 139 个与汽车行业相关的新 CVE。这些 CVE各不相同,涉及到从系统中使用的芯片上发现的漏洞到车辆或车辆系统上发现的漏洞。 例如,2021 年 10 月,在 Android Automotive 操作系统的蓝牙配对交易中发现了一个漏洞(CVE-2021-0583),允许在未经用户同意的情况下在车辆中启用蓝牙。这样的操作可能会导致需要用户执行权限的本地权限升级。
两个月前,也就是 2021 年 8 月,一家北美软件公司宣布其最受欢迎的产品之一车载信息娱乐操作系统包含高级别风险安全漏洞 (CVE-2021-22156)。该漏洞可以被远程利用,并允许攻击者执行拒绝服务 (DoS) 攻击或在受影响的设备上执行恶意命令。
制造车辆的原始设备制造商使用由一级供应商生产的数十个软件和硬件模块组装它们。 这些零部件由第 2级供应给第 1 级供应商的各种单独部件构成。 每个零部件的质量和安全都委托给生产它的公司。因此,监督每个汽车相关产品的质量和安全的重要性,是供应链中每个公司的责任。由于漏洞和缺陷并不总是能及时解决,或者根本无法解决,只需要一个常用芯片设计中的一个缺陷就可以对数百万辆汽车造成危险的影响。
公开报告的汽车相关漏洞的细分
2021 年,Upstream 分析师发现的 CVSS 评分漏洞有:
法规是否有助于减轻网络攻击?
2021 年发现了 139 个新的 CVE,每家公司都必须解决并实施适当的缓解技术,以保护其产品免受可能在未来出现的现有和未知漏洞的影响。必须维护 VSOC(车辆安全运营中心),以在车辆在线装配后执行持续监控十多年,以符合 ISO/SAE 21434 标准。
哪些行业受到影响?
联网汽车生态系统没有一个部分没有受到网络攻击的威胁的。
扩大了数字足迹的行业,例如农业和汽车租赁行业,已经应对了新的攻击和他们用户更突出的关注。
现有行业的风险扩大
保险
近年来,随着远程信息处理数据的可用性增加,保险业发生了重大变化。该行业具有独特的优势,可以分析多个数据流,包括驾驶员习惯,而不是针对日常使用或车辆能力,而是计算保费并为每辆车设定美元价值。
网络安全是计算这些保费的一个重要因素,要求公司了解每种汽车品牌和型号的安全状况。
不幸的是,进行这些评估的专业知识超出了保险承保人的核心专业知识,因此他们必须与汽车网络安全专家合作以明确相关风险。
对车辆的网络攻击甚至可能影响保险公司的 IT 网络。与OEM类似,一些保险公司也与其保险公司的车辆进行通信。
联网农业
农用车辆的冲突在 2021 年成为新闻头条。寻找自行修理设备的农民转向在线论坛,开始交换代码,操纵拖拉机系统和数据。因此,这个以前未被注意到的行业经历了网络攻击的增加。
今年发现了两起农用车辆重大事件。例如,2021 年 8 月,安全研究人员在两家农用车辆制造商和农机供应商的操作系统中发现了多个漏洞,这些漏洞危及车辆的安全性。2021 年 4 月早些时候,该组织发现了两个漏洞,允许访问从这些制造商处购买拖拉机或设备的所有客户的数据。
这些在公司应用程序和网站中发现的漏洞可能使黑客能够找到并下载所有农用车辆和设备所有者的个人数据。然后,这些数据在深网和暗网上可用(有关深网和暗网的更多信息,请参见第 5 章)。
政府
汽车网络攻击也影响了政府。例如,2021 年 2 月,澳大利亚新南威尔士州政府交通局 (TfNSW) 的文件共享系统受到网络攻击,黑客窃取了客户数据。此外,2021 年 3 月,康涅狄格州和其他七个州的机动车辆部门 (DMV) 的排放软件供应商遭到了攻击。这次袭击影响了各州的车辆排放测试计划,导致康涅狄格州、马萨诸塞州和其他六个州在 2021 年 4 月初暂停排放测试。
在同月的另一起事件中,由大都会交通管理局 (MTA) 运营的纽约市地铁和公交系统遭到勒索软件攻击。这次攻击暴露了世界著名的交通网络中的漏洞,该网络每天为 550 万乘客提供服务。这次攻击不涉及财务需求,而是似乎是最近一系列由老练的黑客入侵美国主要基础设施的一部分。
预计 2019 年至 2023 年出货的新联网汽车的增长率为49.3%。
传统黑客之外的知识分享
2021 年,人们转向在线论坛学习如何在不向当地经销商付费的情况下修理车辆。结果,许多论坛和新社区允许人们提出问题并从黑客那里获得帮助。在这些情况下,OEM 不会批准或审查解决方案。这导致可能没有广泛的软件或硬件知识的个人篡改敏感仪器。这产生了新的漏洞,使保修失效,并产生了以前没有的安全问题。
电动汽车充电站
虽然电动汽车容易受到上述所有攻击,但它们也受到另一个领域的攻击。 也就是,它们可能会受到电动汽车充电站 (EVCS) 生态系统中漏洞的影响,而这些安全漏洞可能会影响多个 EVCS 零部件。
其中包括充电站、提供网络基础设施的充电点运营商 (CPO),甚至是管理能源分配网络的配电系统运营商 (DSO)。2021 年 7 月,研究人员在一系列智能电动汽车 (EV) 充电桩中发现了许多安全漏洞。研究人员可以远程打开和关闭充电桩,取消所有者的访问权限,并锁定或解锁充电电缆。此外,他们声称不良行为者可以窃取车主的身份,阻止车主对其车辆充电,然后免费为自己的车辆充电。其中一位研究人员还声称,更改设备上的编程将允许攻击者永久禁用充电桩或使用它来攻击其他充电桩或服务器。更重要的是,在充电桩连接 Wi-Fi 的情况下,黑帽黑客可以渗透家庭网络。
由于充电网络使用开放式充电点接口 (OCPI) 协议,网络效应可能是深远的,该协议旨在使不同充电网络和运营商之间的充电无缝连接,从而实现充电网络之间的互操作性。然而,该协议也意味着一个充电网络的弱点可能会影响充电站的整个电网,因为一个平台中的漏洞可能会在另一个平台上造成漏洞。
最终,大多数研究过的智能电动汽车充电点都容易受到攻击。 利用这些漏洞有可能影响数百万辆汽车,实现对充电过程的远程控制,并充当窃取信息的载体。
其中一个充电桩的一个漏洞可以将攻击者固件远程推送到充电桩,尽管没有研究这种特定的攻击向量,但可以推断,将恶意固件推送到充电桩可以用作通过车辆充电进行多车攻击的手段。
2021 年 12 月,研究人员调查了基于 Apache Log4j Java 的日志库漏洞如何影响嵌入或用于联网汽车、充电桩、车载信息娱乐 (IVI) 系统和数字遥控器的设备或属性。他们的研究发现,车载充电桩面临风险,包括欧洲的车辆到电网 (V2G) 系统。V2G 系统允许汽车电池中存储的能量在电网上重新分配,以帮助平衡与生产水平有关的需求。此外,他们发现使用复杂操作系统的汽车 IVI 系统也可能受到攻击。研究人员表明,通过利用 Log4j 漏洞,他们可以对车辆及其连接的基础设施执行攻击。
END
原文始发于微信公众号(汽车信息安全):青骥编译 l Upstream 2022全球汽车网络安全报告 第二章 汽车网络威胁趋势
