By Aaron Luo and Vit Sembera
這次在加拿大溫哥華舉行的Pwn2Own 2023成果驚人,總共九支隊伍於3 月 22 日至 24 日參加比賽。這些隊伍為包括Adobe、Apple、Microsoft、Oracle、Tesla、Ubuntu 和 VMware 等在內的軟體廠商揭露了27個獨特的零日漏洞(0-day vulnerability)。其中,來自法國的駭客團隊進行兩次攻擊皆成功駭入Tesla Model 3,成為本次競賽最大的亮點。
這次在加拿大溫哥華舉行的Pwn2Own 2023成果驚人,總共九支隊伍於3 月 22 日至 24 日參加比賽。這些隊伍為包括Adobe、Apple、Microsoft、Oracle、Tesla、Ubuntu 和 VMware 等在內的軟體廠商揭露了27個獨特的零日漏洞(0-day vulnerability)。其中,來自法國的駭客團隊進行兩次攻擊皆成功駭入Tesla Model 3,成為本次競賽最大的亮點。
去年,Synacktiv在Pwn2Own 2022比賽中獲得勝利,當時該團隊利用了在車載娛樂(IVI)系統中使用的ConnMan程式中的兩個漏洞,以及另外兩個核心漏洞,最終從遠端完成了程式碼的執行。當他們一掌握了IVI系統的控制權,Synacktiv接著展示透過 CAN bus發出訊息來影響了特斯拉車上其他電子控制單元(ECU)的運作。今年,Synacktiv 再次參賽,成功演示了兩個攻擊情境並發現了3個獨立的零日漏洞。最終,該團隊的兩次成功攻擊赢得了 53 萬美元的獎金,並按照 Pwn2Own 的傳統,獲得了ㄧ輛Tesla Model 3以及本次 Pwn2Own競賽Master of Pwn 的榮銜。
圖1. Synacktiv 團隊正在對Tesla Model 3進行攻擊
第一次攻擊
Synacktiv 在活動的第一天只花了約2分半鐘的時間就成功完成了第一次攻擊。他們成功利用 time-of-check to time-of-use(TOCTOU)邏輯機制問題拿下Gateway的最高權限,最終得以傳送自定義的CAN bus訊息。
圖2. Synacktiv 發送自定義的 CAN bus 訊息
第二次攻擊
Synacktiv 的另一個攻擊成功地獲得了 Pwn2Own的Tier 2 獎項,因為該團隊成功地入侵了特斯拉車上的兩個不同的子元件,即藍牙與Wi-Fi 晶片組,並取得 IVI 系統的root權限。
第二天Synacktiv 再次回來挑戰IVI系統的攻擊,他們展示利用IVI 系統中heap緩衝區溢位(overflow)和越界寫入(out-of-bounds write)的零日漏洞,攻擊了特斯拉車上兩個不同的子元件,藍芽、WiFi晶片。Synacktiv在規定的10分鐘挑戰區間內,僅僅花費1分15秒就成功使用此漏洞作為敲門磚一步步佔領 IVI 系統並取得root權限,最後以他們自定義的圖像覆蓋原螢幕畫面完成挑戰。
圖3. Synacktiv 以自定義圖像覆蓋原 IVI 系統螢幕
結合Gateway及IVI兩個漏洞的攻擊
在IVI 系統漏洞展示完的兩個小時後,Synacktiv 加碼嘗試了合併使用兩個零日漏洞(一個來自第一次攻擊,另一個來自第二次攻擊)的攻擊。總共花費約4分鐘的時間便成功利用兩個漏洞,先從無線藍芽影響IVI系統取得對IVI系統的存取權限,再利用IVI系統通過Gateway發送了自定義的CAN bus訊息。
Synacktiv 團隊從遠端侵入 IVI 系統,然後進一步侵入車內的Gateway,完成整個攻擊路徑。將這兩個零日漏洞結合成一個攻擊鏈,然後在這次的攻擊行動中完成了車輛的遠端滲透。這實現了所有駭客的夢想-對車輛的遠端控制,同時也印證了長久以來資安專家的疑慮。
圖4. Synacktiv 結合兩個漏洞攻擊從遠端進入 IVI 系統並發送 CAN bus訊息
結論
第一個漏洞需要實際接觸到車內 ECU 有線端口或已經被提權攻擊入侵過的 ECU,與第二次攻擊相比,它更簡單且易於複製。值得慶幸的是,這個漏洞可以很容易地修復。
至於第二次攻擊就不同了,因為它涉及到一個車廠較為不易緩解的漏洞。但第二次的攻擊需要依賴一個複雜的漏洞鏈,因此很難被複製使用。第二次攻擊儘管初始條件限制提高了攻擊者的攻擊難度,讓攻擊變得更加困難,但值得特別注意的地方在於它是一次成功的車輛遠端攻擊,而且可以完全控制車輛。
Pwn2Own Vancouver 2023 回顧
這些攻擊的技術細節一般很少公開,以防止現實世界中的模仿與複製。然而,從這兩個漏洞攻擊中我們需要強調的是,防止未經授權的內部存取以及避免受漏洞影響的裝置連結到汽車的需求已然更為迫切,因為現在汽車在連接車聯網生態系統中扮演著複雜的角色。
最後,Pwn2Own是由趨勢科技 Zero Day Initiative (ZDI)漏洞懸賞計畫贊助成立的競賽,其競賽設計的初衷即是讓參與的廠商與資安研究社群能更緊密地合作。漏洞揭露對於像是汽車這樣的產業有助於減少面臨真實世界問題的機率,讓車廠/供應商意識到設計上的漏洞,並且有時間與發現它們的研究人員合作來解決這些網路安全問題。