By Spencer Hsieh (Staff Threat Researcher, Automotive), Aaron Luo (Sr. Staff Engineer, Automotive) and Vit Sembera (Sr. Threat Researcher, Automotive)
Pwn2Own Automotive 2024で発見された脆弱性は、自動車システムとそれを支えるインフラに影響を及ぼすサイバーセキュリティ上の重大な懸念を浮き彫りにしています。これらの問題は、ベストプラクティスの中でも特に、セキュア コーディングの実践と業界標準の厳格な遵守の重要性を浮き彫りにしています。このブログでは、Pwn2Own Automotive 2024の脆弱性のうち、Synacktivチームの研究者がAutel MaxiCharger電気自動車(EV)充電器のファームウェアで特定した2つの脆弱性(CVE-2024-23959 と CVE-2024-23958)について検証します。
概説 CVE-2024-23959とCVE-2024-23958について
スタックベースのバッファオーバーフローによる脆弱性である CVE-2024-23959 は、組込みシステムによく見られる欠陥の代表例です。組込みシステムは、往々にして、スタック保護のような主要なセキュリティ機能を欠いている簡素化されたオペレーティング システムを使用しています。これらの安全策がない場合、システムはオーバーフロー攻撃に対して非常に脆弱です。ほとんどの統合開発環境(IDE)でセキュリティチェックが自動的に行われていないという実情が、この問題をさらに悪化させています。このような脆弱性を早期に発見するために、開発者は静的アプリケーション セキュリティ テスト(SAST)を実施する必要があります。CVE-2024-23959の出現は、そのようなツールが使われていなかったか、設定が不適切であったことを示唆しています。
二つ目の脆弱性 CVE-2024-23958 は、システム内にハードコードされた認証情報が存在することに起因します。通常、これらの認証情報は開発とデバッグのために追加されますが、誤って運用コードに残されることがあり、重大なセキュリティリスクを引き起こします。このような見落としは、攻撃者に認証を迂回し不正アクセスを行うための容易なエントリーポイントを提供してしまいます。
どちらの脆弱性も、Autel MaxiCharger ファームウェアの最新リリースで Autel社によってパッチが適用されています。これらの脆弱性の詳細、および脆弱性を発見するために使用されたリバースエンジニアリング技術やAutel社がどのようにパッチを適用したのかについての詳細は、VicOneのPwn2Own Automotiveの共同ホストであり、脆弱性の発見と開示のパートナーであるZero Day Initiative(ZDI)による関連するブログをお読みください。
危殆化したEV充電器のセキュリティへの影響
不正侵入されたEV充電器のリスクは、機器そのものにとどまりません。オープン チャージ ポイント プロトコル(OCPP)などの通信プロトコルを介して、コネクテッドカーや他の電気自動車供給設備(EVSE)システムに対する攻撃の入り口となる可能性があります。OCPPは、EV充電器とその中央システム間の通信を容易にし、リモート管理や課金機能をサポートします。攻撃者が充電器をコントロールできるようになると、OCPPの脆弱性を悪用して、充電プロセス中に車両のシステムを不能にしたり、操作したりすることが可能になります。
組込みシステムにおけるセキュア コーディングの基本
Pwn2Own Automotive 2024で特定された脆弱性は、組込みシステムにおけるセキュアコーディングの基本が、より広範なIT環境におけるものと何ら変わらないことを明確に示しています。厳密な入力検証、ハードコードされた機密情報の回避、適切な認証メカニズムの実装などのセキュアコーディングの実践は、組み込みシステムにおいても、他のソフトウェア開発と同様に最も重要です。OWASP、ISO/SAE 21434、UN-R155 のような包括的なセキュリティフレームワーク、規格、および法規制と組み合わせることで、これらのプラクティスは、車両と接続されたインフラシステムのセキュリティと耐障害性を確保するために不可欠です。
セキュリティフレームワーク、規格、法規制の遵守
サイバーセキュリティのリスクをさらに軽減するためには、セキュリティフレームワーク、規格、法規制を遵守することが重要です。主な例を以下に示します。
- OWASP(Open Worldwide Application Security Project)は、バッファオーバーフローやハードコードされた認証情報など、開発中の脆弱性を特定し、緩和するために有益な静的アプリケーションセキュリティテスト(SAST)などの重要なリソースやツールを提供しています。
- ISO/SAE 21434は、車両のライフサイクル全体を通じてサイバーセキュリティのリスクを管理するための構造的なアプローチを提供し、設計から廃車までのサイバーセキュリティへの配慮に重点を置いています。
- WP.29 UN-R155は、自動車メーカーにサイバーセキュリティ管理システムの導入を義務付け、進化する脅威から車両を確実に保護することを目的としています。
結論
Pwn2Own Automotive 2024で強調されたサイバーセキュリティの課題は、自動車業界におけるセキュリティへの包括的なアプローチの必要性を強調しています。セキュアコーディングの原則を適用し、OWASPが推奨するツールなどを効果的に使用し、ISO/SAE 21434やUN-R155などの業界標準規格や 諸規制を遵守することで、自動車業界は脆弱性が悪用されるリスクを大幅に低減することができます。これらの推奨事項は、コネクテッド ビークルの保護だけでなく、コネクテッド ビークルを支えるコネクテッド インフラストラクチャの安全確保にとっても重要です。
協調した脆弱性開示の時間軸に関する背景
Pwn2OwnイベントでZDIが、或るチームがデバイスやソフトウェアを「ハックに成功」または「pwned」と発表してから、そのハックに使用されたテクニックが公表されるまで、しばしば遅延があることに疑問を持たれた方も多いでしょう。この遅延は、ゼロデイ脆弱性をより責任を持って管理するために設計された調整型脆弱性開示(CVD)プロセスの一部です。
1990年代には、脆弱性を積極的に探し出すハッカーはごくわずかであり、多くのベンダーは脆弱性への対処に備えていませんでした。ホワイトハッカーもベンダーも、「ハッカーは利益と引き換えに脆弱性を報告しているのではないか?」や「脆弱性は修正されるのか、それとも報告は時間の無駄になるのか?」といった懸念を抱えていました。そして、次のような譲歩案が採用されることになりました。まずハッカーが脆弱性をベンダーに報告し、その後、ベンダーがパッチをリリースし、ハッカーの発見を公に認めるというものです。
ZDIの脆弱性開示ポリシーに基づき、提出された脆弱性は、パッチが利用可能になった時点で、またはベンダーが対応しない場合は一定期間経過後に開示されます。このアプローチにより、問題が解決されるか、または修正方法が知られていない脅威が公に認知されることで、脆弱性が悪用されるリスクが回避または抑止されます。これが、脆弱性が最初に提出されてから詳細が公表されるまでの時間差を説明するものです。
