0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Cybellum汽车检测平台被曝漏洞,官方回复!全球汽车安全监管持续升级

jf_94040343 来源:jf_94040343 作者:jf_94040343 2024-02-26 14:12 次阅读

(谈思汽车讯)2月21日,有媒体报道称,国外知名产品安全平台Cybellum存在高危漏洞,由于该平台被绝大多数的OEM、Tire1以及检测机构广泛用于固件安全检测与管理,消息一经发布,即引发了业内人士关注。

01知名安全平台被曝漏洞,官方反应迅速

据报道,星舆实验室安全研究员@Delikely与中国汽研安全研究员@Imweekend发现该平台存在安全缺陷。

目前,Cybellum已下发更新修复了此漏洞。报道显示,Cybellum于去年6月到9月已向所有客户发布并部署了修复程序,问题的细节也已于今年2月18日对外公开。

对于该漏洞引发的关注,谈思汽车留意到,Cybellum官方第一时间在其官网做出了回复:“星舆实验室和中国汽研网络与数据安全中心的安全研究人员报告的问题存在于Cybellum的QCOW air-gapped的维护服务器中,该发行版仅在中国部署,影响了版本 2.15.5 到 2.27。在版本 2.28 中引入并实施了永久修复。除此之外,我们还检查了易受攻击的系统,没有发现任何被利用的证据。”

下为Cybellum官方回应全文:

安全更新:解决 Cybellum 的维护服务器问题 (CVE-2023-42419)

2024年2月21日

我们想告知客户一个引起我们注意的安全问题,这是我们对透明度和产品持续安全承诺的一部分。

2023 年 6 月 21 日,星舆实验室和中国汽研网络与数据安全中心的安全研究人员向 Cybellum的安全团队报告了一个问题,特别是在 Cybellum 软件的某个发行版中。

这个问题是在Cybellum的QCOW air-gapped分布的维护服务器中发现的,专门在中国部署,影响版本 为2.15.5到2.27。

它不会影响较旧或较新的版本,包括 Cybellum 1.x。

这个问题源于Cybellum的QCOW发行版中的一个私有加密密钥,并且很快就通过应用于受影响客户系统的热补丁进行了解决。

在2.28版中引入并实现了永久性修复。除此之外,我们还检查了易受攻击的系统,没有发现被利用的证据。

要利用这个问题,攻击者需要满足两个条件:

访问QCOW air-gapped分布的维护服务器(专门部署在中国)。

获取管理员接入密钥。

利用这个问题的可能性非常低,因为它需要深度网络渗透并且拥有管理员密钥。需要强调的是,这个问题不会影响:

Cybellum 1.x 版本

Cybellum 2.0到2.15.4版本

Cybellum 2.28及以上版本

此外,在中国以外发行的版本不受影响。

我们感谢星舆实验室和中国汽研网络与数据安全中心负责任地披露了这个问题。在Cybellum,我们非常认真地对待安全问题,并致力于保持最高的安全标准。我们感谢社区的警惕和支持帮助我们改进我们的产品。这样的合作努力对我们提供安全可靠的软件的持续使命来说是非常宝贵的。

wKgaomXcKyWAOsUjAAErpO6T-ZU871.png

常见问题

问:这个问题的严重度是多少?

答:官方CVSS打分为3.8,这个问题被分类为低严重性(LOW SEVERITY)。

问:我如何知道我是否受到影响?

答:如果您在中国使用的是Cybellum的QCOW air-gapped发行版,2.15.5-2.27版本,您会受到影响。否则,您就不受影响。

问:如果我的版本不受影响,是否需要采取任何行动?

答:您不需要采取任何行动。

问:如何解决这个问题?

答:升级到2.28或更高版本。或者请联系support@cybellum.com。

问:这个问题是否已经有被潜在攻击者利用了吗?

答:据我们所知,没有。在2023年7月至8月期间,我们已向所有受影响客户发布并部署了一个修复补 丁。该问题的细节于2024年2月18日公布。

问:这个问题会影响Cybellum产品安全平台产生的扫描评估结果或报告吗?

答:不会,该问题仅限于维护服务器,不影响产品安全平台自身功能。

问:这个问题是否会影响用户的隐私信息?

答:不,这个问题仅限于维护服务器,不包括私有信息。

问:这个问题是否起到了“后门”的作用?

答:不,它涉及一个私有加密密钥,被错误地部署在Cybellum的QCOW镜像中。

问:如何防止此类问题再次发生?

答:我们通过持续改进的安全开发生命周期(SDLC)流程、全面的渗透测试、严格的代码审查和采用 领先的SecDevOps实践,不断增强我们的安全协议。

问:如果我有其他问题怎么办?

答:请通过security@cybellum.com联系我们寻求帮助。

据了解,Cybellum产品安全平台是汽车固件安全检测与管理使用最为广泛的产品之一,该平台旨在协助团队在开发全生命周期的每个阶段,从概念设计到开发再到后期生产,都可以识别漏洞。

包括BMW、奥迪、日产、长城、捷豹路虎、合众汽车等主机厂;电装、哈曼、维宁尔、弗吉亚、Mobileye等供应商;中汽中心、中国汽研、赛迪、赛宝等检测机构均是该安全平台的用户,这也是此次漏洞披露引发大规模关注的重要原因。而Cybellum关于漏洞修复及影响程度的反馈结果着实为平台用户打了一针定心剂。

wKgZomXcKyqAN0bdAAEDyPDh8Dk756.png

02强标发布时间敲定,全球迈进强监管时代

随着智能网联汽车带来更大便捷性的同时,其面对的网络攻击风险日益增加。据Upstream Security发布的《2024全球汽车网络安全报告》显示,2023年,潜在影响数以千计至数百万辆移动资产的高规模和大规模事件的数量比2022年增加了2.5倍,其中95%的攻击是远程执行的,且64%的网络攻击是由黑客执行。

“汽车网络安全正处于一个拐点。网络事件在复杂性和影响力上显著增长,威胁着安全和敏感数据,并带来了运营上的重大影响。威胁者的动机正在转向对连接车辆和移动资产的高规模和大规模影响。” Upstream Security首席执行官兼联合创始人Yoav Levy表示。

除了来自外部的网络攻击风险对车主隐私、车企声誉造成的影响,政府层面的监管也是产业链上下游高度关注汽车网络安全威胁的重要驱动因素。

自2022年7月起,根据欧盟的要求,所有新车型需进行R155和R156法规所要求的型式认证,才能申请整车型式认证(WVTA);但从2024年7月起,所有新车都必须满足这两项法规的要求,才能上市销售。

值得一提的是,由LG和Cybellum合作设计推出的汽车网络安全管理系统(CSMS)Cockpit平台,能够监视并维护车辆网络安全,简化OEM的网络安全保障和事件响应任务,确保车辆数字安全且符合不断发展的网络安全法规。

目前,小鹏、理想、极氪、上汽、比亚迪等国内车企均陆续获得了R155、R156及VTA认证,迈出了抢占54个海外市场的第一步——出海合规。

wKgaomXcK1-AGWlaAAudKEMJT9c575.png

谈思汽车整理制表

与此同时,对标R155和R156,国内强标《汽车整车信息安全技术要求》和《汽车软件升级通用技术要求》也推出在即。据业内人士透露,两项强标将于2025年1月发布,并拟于2026年1月正式实施。

wKgaomXcK2WADOXJAAK8oQpiTpc269.png

wKgaomXcK2mAAg54AAEFh6Y1D5U850.png

wKgZomXcK26Abg_PAAD_4Cy5YcU053.png

智能汽车的落地,首先必须解决网络数据安全难题,随着强标的正式落地,如何卸除悬在头顶的达摩克里斯之剑,这一车企心心念念的痛点将迎来更明晰的解题方向,中国汽车网络数据安全行业的强监管也将迈入常态化,届时,市场反馈及用户驱动将逐步成为智能汽车的新引爆点!

谈思AutoSec作为颇具影响力的汽车网络安全产业标杆会议,将持续携手业内权威大咖,深研汽车安全产业,为行业源源不断地呈现最新洞见和前沿技术实践,同时赋能供需对接及产业创新,引领智能网联汽车安全生态圈发展!

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9144

    浏览量

    85388
  • 网络安全
    +关注

    关注

    10

    文章

    3158

    浏览量

    59736
收藏 人收藏

    评论

    相关推荐

    汽车雷达回波发生器的技术原理和应用场景

    的目标回波,评估碰撞预警系统的检测和预警能力。这有助于确保碰撞预警系统在各种情况下都能准确、及时地发出预警,提高行车安全性。 汽车雷达系统的性能验证:汽车电子雷达回波发生器还可以用于
    发表于 11-15 14:06

    华盛昌BS-150内窥镜助力提升汽车检修效率

    随着我国经济社会的快速发展和人民生活品质的提升,汽车已经深入千家万户。产业的繁荣必催生一个庞大的市场生态,汽车检修作为保障车辆安全与性能的关键环节,其重要性愈发凸显。
    的头像 发表于 09-04 14:41 356次阅读

    新能源汽车检测维修解决方案

    新能源汽车电气化程度相对传统汽车要高,在汽车运行的恶劣环境(汽车振动、外部环境湿度及温度)影响下,或汽车发生碰撞、翻转的情况,可能导致高压电
    的头像 发表于 08-09 15:53 436次阅读
    新能源<b class='flag-5'>汽车检测</b>维修解决方案

    汽车检测仪数据安全芯片—LKT4304的产品特点介绍

    汽车检测仪是一种重要的汽车工具,其功能作用非常多。汽车检测仪的工作原理是通过判断传感器、执行器状态以及ECU的工作是否正常,来诊断电子控制系统的状态。
    的头像 发表于 05-31 11:21 470次阅读

    电力基建内悬浮抱杆监测系统|工作原理|模块化设计|安全监管

    输电线路铁塔作为电力新基建的坚实脊梁,承载着输送电能的重大使命。在铁塔的组立过程中,安全监管的严格与否直接关系到作业人员的生命安全,更关乎整个电力网络的稳定运行。然而传统的铁塔组立施工方式存在依靠
    的头像 发表于 05-30 14:52 628次阅读

    第二批汽车网络数据安全全景图入选单位征集中!这是日新月异,技术为王的市场

    近年来,随着汽车行业在全球范围内持续遭受黑客攻击,数据屡屡泄露,无论是政府、车企,还有一二级供应商都纷纷加码,扩大对
    的头像 发表于 05-14 13:26 341次阅读
    第二批<b class='flag-5'>汽车</b>网络数据<b class='flag-5'>安全</b>全景图入选单位征集中!这是日新月异,技术为王的市场

    中国汽研拟成立后市场平台公司,聚焦新能源汽车安全评估及定价业务 

     未来,该事业部门将致力于新能源在用车辆安全评估及价值管理,围绕着“在用车检测、装备产品、行业服务”三大核心业务展开,持续构筑新能源在用车检测新格局。
    的头像 发表于 05-13 16:16 751次阅读

    银行安全用电监管平台

    银行安全用电监管平台
    的头像 发表于 05-12 08:07 254次阅读
    银行<b class='flag-5'>安全</b>用电<b class='flag-5'>监管</b>云<b class='flag-5'>平台</b>

    数字化电梯安全监管平台的特点和发展趋势解析!

    在数字化浪潮的推动下,电梯安全监管也迎来了革命性的变革。数字化电梯安全监管平台,作为这一变革的核心载体,正在以智能化的手段守护着我们的乘梯安全。本文梯云物联小编将对数字化电梯
    的头像 发表于 05-10 11:05 484次阅读
    数字化电梯<b class='flag-5'>安全监管</b><b class='flag-5'>平台</b>的特点和发展趋势解析!

    专家访谈 | 关注汽车数据安全监管与合规:不同应用场景适用哪些法律法规?(汽车安全③:数据安全

    ,用于提高用户驾驶体验和提供智能驾驶功能。同时,汽车收集的大量数据通过车载通信设备,上传或共享给车企的数据平台或短距通信终端等。有数据显示,一辆自动驾驶汽车每秒钟
    的头像 发表于 04-09 11:29 915次阅读
    专家访谈 | 关注<b class='flag-5'>汽车</b>数据<b class='flag-5'>安全监管</b>与合规:不同应用场景适用哪些法律法规?(<b class='flag-5'>汽车</b><b class='flag-5'>安全</b>③:数据<b class='flag-5'>安全</b>)

    分布式智慧终端在金融行业安全监管的应用实践

    讯维分布式智慧终端在金融行业安全监管方面的应用实践,展现出了其在保障金融安全、提升监管效率方面的显著优势。以下是对其应用实践的详细分析: 一、全面安全监管与风险预警 讯维分布式智慧终端
    的头像 发表于 04-08 15:30 302次阅读

    分布式智慧终端在金融行业安全监管的应用实践

    讯维分布式智慧终端在金融行业安全监管方面的应用实践,展现出了其在保障金融安全、提升监管效率方面的显著优势。以下是对其应用实践的详细分析: 一、全面安全监管与风险预警 讯维分布式智慧终端
    的头像 发表于 04-07 15:33 338次阅读

    【换道赛车:新能源汽车的中国道路 | 阅读体验】2.(原创)防止黑客病毒入侵智能汽车远程开车锁车

    防止黑客病毒入侵智能汽车远程开车锁车是一个复杂的系统问题,涉及多个层面:硬件安全、操作系统安全、网络通信安全、应用层安全等。以下是我的一些
    发表于 03-18 10:18

    汽车ota升级有什么用 汽车ota功能有必要吗

    以通过无线网络,将最新的软件版本直接传输到车辆中,实现快速、简便的升级。那么汽车OTA升级有什么用呢? 汽车OTA升级的用途非常广泛。首先,
    的头像 发表于 02-18 14:39 1318次阅读

    Cybellum—信息安全测试工具

    Cybellum是一款信息安全测试与管理工具,帮助汽车OEM及其供应商在整个汽车生命周期内大规模评估和降低安全风险。它无需访问源代码,通过C
    的头像 发表于 01-26 16:48 636次阅读
    <b class='flag-5'>Cybellum</b>—信息<b class='flag-5'>安全</b>测试工具