資安專家發現搭載在各款 Mercedes-Benz 乘用車內的資訊娛樂系統,內含五個資安漏洞,其中四個屬於可讓駭侵者遠端執行任意程式碼的嚴重漏洞。
戴姆勒Mercedes-Benz 於2020年與騰訊安全科恩實驗室(Tencent Security Keen Lab) 合作,進行MBUX預防性檢查,主動加強系統的資安防護,在長達8個月的調查中發現,搭載在各款 Mercedes-Benz 乘用車內的資訊娛樂系統 Mercedes-Benz User Experience(MBUX),內含五個資安漏洞,其中四個屬於可讓駭侵者遠端執行任意程式碼的嚴重漏洞。
被發現的五個資安漏洞,其 CVE 編號為 CVE-2021-23906、CVE-2021-23907、CVE-2021-23908、CVE-2021-23909、CVE-2021-23910,可以讓外部駭侵者在其資訊娛樂系統上遠端執行任意程式碼,但無法介入汽車的實體功能,如控制方向盤或剎車系統。
這些資安漏洞存於 Mercedes-Benz 自 2018 年起開始搭載於 A-Class 車系,現已成為所有 Mercedes-Benz 乘用車系車內標準配備的 MBUX 資訊娛樂系統之內。
研究報告指出,這些漏洞存在的主因,是因為 MBUX 採用的 Linux 系統核心版本過於老舊,無法防禦特定攻擊手法;駭侵者可能透過 MBUX 使用的瀏覽器 Javascript 引擎、WiFi 晶片原本就有的缺陷、藍牙連線堆疊、USB 連線功能和第三方應用程式等方式,來攻擊這些漏洞。
研究人員在報告中指出,在成功利用這些漏洞後,研究人員成功建立一個可持續執行的 web shell,擁有 root 權限,可以解除汽車的防盜系統、注入持續執行的後門,並可以控制車內的照明、遮陽罩等設備,但無法控制車輛的行駛機能。
Mercedes-Benz 已於 2021 年 1 月發布資安更新版本。
- CVE編號:CVE-2021-23906、CVE-2021-23907、CVE-2021-23908、CVE-2021-23909、CVE-2021-23910
- 影響產品/版本:Mercedes-Benz 全乘用車系
本文轉載自TWCERT/CC。