大多數 IT 和網路安全團隊認為 Log4Shell (CVE-2021-44228) 是近年來最嚴重的網路威脅之一。 這個遠端程式碼執行 (RCE) 漏洞的嚴重性分數為 10 分(CVSS v3.1),它使惡意行為者能夠執行任意程式碼,從而使他們能夠從世界任何地方恣意接管目標系統。
亞馬遜、蘋果、Cloudflare、谷歌、騰訊、Twitter 以及幾乎所有使用 Java 的公司在某些時候都是易受攻擊的目標。 Log4Shell 進一步擴大了其攻擊面,還影響了電動汽車中的嵌入式系統和各種電子控制單元 (ECU)。 這包括充電站、車用資訊娛樂系統 (IVI) 和遠端無鑰匙進入系統 (RKE) 等。
置身危險的充電站
車輛到電網 (V2G) 系統允許將儲存在汽車電池中的能量重新分配到電網上。 它由兩部分組成:電動汽車 (EV) 及其充電站;它們通過開放充電協議 (OCPP) 連接到中央管理系統-OCPP 是歐洲和北美不斷發展的電動汽車 (EV) 行業的網路協議。
在趨勢科技的這份報告中,威脅研究人員展示了 Log4Shell 和其他兩個漏洞(CVE-2021-45046 和 CVE-2021-45105)讓攻擊者利用 V2G 系統中的 Java 軟體來駭入充電設備和電動車。
暴露於風險中的車用資訊娛樂系統
除了電動汽車充電站之外,電動汽車的車用資訊娛樂系統-尤其是那些擁有 Log4j 庫的系統,也可能面臨風險。 通過演示,各種研究人員還表明,駭客可以使用簡單的漏洞利用字串來入侵特斯拉汽車,之後他們甚至可以發出命令並從其後端伺服器竊取敏感資料。更嚴重的是, 網路犯罪分子還可以利用 Log4Shell 漏洞偷偷推送惡意韌體無線 (FOTA) 更新。
容易受到 Log4Shell 攻擊的數位鑰匙?
智慧手機如今可以成為取代 RKE 系統中的鑰匙。 這些手機可以允許進入甚至控制現代車輛的某些部分功能,但啟用這些功能的應用程式可能會受到 Apache Log4j 漏洞的影響;潛在的攻擊者甚至可以更改汽車的多項設置來深入利用該漏洞。
VicOne 解決方案
Apache 此後建議其使用者隨時更新他們的資料庫。除了軟體更新之外,VicOne 還建議採用更全面的汽車網路安全策略,以更加保護當今的電動車輛免受未來嚴重漏洞的影響。
作為趨勢科技的子公司,VicOne 利用網路安全領導者 30 多年的行業專業知識,提供以下解決方案:
- xNexus 是用於車輛安全運營中心 (VSOC) 的偵測及回應 (DR) 平台,可以幫助建立感知機制和對傳入攻擊的早期預警。
- xCarbon用於電子控制單元或 ECU 的入侵檢測和防禦系統 (IDPS) 在車輛中提供卓越的檢測保護,使安全運營中心 (SOC) 能夠快速了解潛在攻擊的性質。
- xZETA 允許汽車製造商在多個不同級別上掃描汽車供應商提供的韌體,並從一開始就有效地減少攻擊面。
- xScope 是一項滲透測試服務,可對整個車輛進行深入評估,以辨識漏洞並提供建議。
造訪 VicOne 的資源中心以獲取更多電動車輛設計中其他可能漏洞的研究並了解最佳安全實踐。