https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

新聞

賓士MBUX車內資訊娛樂系統內含五個資安漏洞,速更新!

2021 / 05 / 20
編輯部
賓士MBUX車內資訊娛樂系統內含五個資安漏洞,速更新!
資安專家發現搭載在各款 Mercedes-Benz 乘用車內的資訊娛樂系統,內含五個資安漏洞,其中四個屬於可讓駭侵者遠端執行任意程式碼的嚴重漏洞。

戴姆勒Mercedes-Benz 於2020年與騰訊安全科恩實驗室(Tencent Security Keen Lab) 合作,進行MBUX預防性檢查,主動加強系統的資安防護,在長達8個月的調查中發現,搭載在各款 Mercedes-Benz 乘用車內的資訊娛樂系統 Mercedes-Benz User Experience(MBUX),內含五個資安漏洞,其中四個屬於可讓駭侵者遠端執行任意程式碼的嚴重漏洞。

被發現的五個資安漏洞,其 CVE 編號為 CVE-2021-23906、CVE-2021-23907、CVE-2021-23908、CVE-2021-23909、CVE-2021-23910,可以讓外部駭侵者在其資訊娛樂系統上遠端執行任意程式碼,但無法介入汽車的實體功能,如控制方向盤或剎車系統。

這些資安漏洞存於 Mercedes-Benz 自 2018 年起開始搭載於 A-Class 車系,現已成為所有 Mercedes-Benz 乘用車系車內標準配備的 MBUX 資訊娛樂系統之內。

研究報告指出,這些漏洞存在的主因,是因為 MBUX 採用的 Linux 系統核心版本過於老舊,無法防禦特定攻擊手法;駭侵者可能透過 MBUX 使用的瀏覽器 Javascript 引擎、WiFi 晶片原本就有的缺陷、藍牙連線堆疊、USB 連線功能和第三方應用程式等方式,來攻擊這些漏洞。

研究人員在報告中指出,在成功利用這些漏洞後,研究人員成功建立一個可持續執行的 web shell,擁有 root 權限,可以解除汽車的防盜系統、注入持續執行的後門,並可以控制車內的照明、遮陽罩等設備,但無法控制車輛的行駛機能。

Mercedes-Benz 已於 2021 年 1 月發布資安更新版本。
  • CVE編號:CVE-2021-23906、CVE-2021-23907、CVE-2021-23908、CVE-2021-23909、CVE-2021-23910
  • 影響產品/版本:Mercedes-Benz 全乘用車系

本文轉載自TWCERT/CC。