この脆弱性は、セキュリティ評価の後、11 月 12 日午後、カスペルスキーのサイバーセキュリティ専門家によって発表されました。パートナー請負業者の公開アプリケーションのゼロデイ脆弱性を悪用することで、攻撃者は車両のテレマティクス システム (車両データ収集および処理システム) を完全に制御することができます。
この攻撃はドライバーと乗客の安全を直接脅かします。たとえば、攻撃者は移動中に車両にギアを強制的に変更したり、エンジンを停止したりする可能性があります。
危険は存在する
セキュリティ評価は、メーカーの公共サービスと請負業者のインフラストラクチャに焦点を当てて、リモートで実施されました。カスペルスキーは、適切なセキュリティなしで誤ってインターネットに公開された多数のオンライン ポータルを特定しました。
まず、SQL ステートメントに悪意のあるコードを挿入して Wiki アプリケーション内のデータに不正にアクセスするゼロデイ脆弱性を利用して、専門家はパスワード ハッシュ (直接読み取ることができない一方向暗号化バージョンのパスワード) とともに請負業者のユーザー リストを抽出することができました。
脆弱なセキュリティ ポリシーが原因で、これらのパスワード ハッシュの一部は正常に復号され、請負業者の問題追跡システムへのより深い侵入への道が開かれました (この追跡システムは、プロジェクト内のタスク、エラー、またはインシデントを管理および追跡するために使用されます)。
特に、このシステムには、同社のテレマティクス サーバーの 1 つにあるユーザーのパスワード ハッシュを含むファイルなど、メーカーのテレマティクス インフラストラクチャに関する機密構成の詳細が含まれていました。
カスペルスキーは、コネクテッドカーシステムに関して、ファイアウォールの設定が誤っており、一部の内部サーバーが露出していることを発見しました。
さらに驚くべきことに、専門家チームは、修正されたファームウェア バージョンを車両のテレマティクス コントローラーにダウンロードできるようにするファームウェア アップデート コマンドも発見しました。これは、車両の内部通信ネットワーク、つまりエンジンやセンサーなどの車両コンポーネント間の接続と動作の調整を担うシステムにアクセスできることを意味します。
このネットワークにアクセスできるようになると、専門家はエンジン制御やトランスミッションなどの多くの重要な車両機能に影響を与えることができます。実際の状況では、これらの脆弱性が悪用されると、ドライバーと乗客の安全が直接脅かされる可能性があります。
推奨
カスペルスキーは、自動車分野の請負業者および技術パートナーに対し、次のことを推奨しています。
- VPN 経由で Web サービスへのインターネット アクセスを制限し、企業内部ネットワークからサービスを隔離します。
- ビジネス イントラネットに関連しないように、Web サービスを分離します。
- 厳格なパスワードポリシーを適用する
- 二要素認証 (2FA) を有効にする
- 機密データを暗号化する
ログ システムを SIEM プラットフォームと統合して、インシデントをリアルタイムで監視および検出します。 SIEM は、異常な動作やサイバー攻撃を早期に検出するのに役立つセキュリティ情報およびイベント管理システムです。
サイバーセキュリティの専門家は自動車メーカーに対して、車両の接続ネットワークからテレマティクスプラットフォームへのアクセスを制限し、許可リストにあるネットワーク接続のみを許可し、SSHパスワードログインメカニズムを無効にし、必要最小限の権限でサービスを操作し、TCU(車両テレマティクスコントローラー)に送信される制御コマンドの信頼性を確保し、SIEMプラットフォームを統合することを推奨している。
