近日,为辰安全实验室监测到部分智能网联汽车使用的开源项目 busybox 代码执行漏洞(CVE-2022-30065)。该漏洞影响多数车机娱乐系统 IVI、TBOX、仪表等系统安全,截至发稿,Busybox 官方已发布修复版本。
漏洞背景
Busybox 是一个遵循 GPL 协议、以自由软件形式发行的应用程序。Busybox 在单一的可执行文件中提供了精简的 Unix 工具集,可运行于多款 POSIX 环境的操作系统,例如Linux,Hurd,QNX,FreeBSD等等。由于 Busybox 可执行文件的文件比较小,使得它在智能汽车上运用非常广泛。
该漏洞由于是 Busybox 的 AWK 模块使用释放后的内存,并且在 copyvar 函数中处理特制的 AWK 模式时可导致代码执行。地址:https://www.busybox.net/
漏洞危害
该漏洞为高危漏洞,官方 CVSS 评分 7.8,对车端可能造成重大安全风险——
1. 可导致程序崩溃、权限提升,从而使车辆的业务功能失效,严重可导致车辆停止工作或者丧失控制权,系统崩溃时被执行其他攻击的风险激增。
2. 可配合其它远程漏洞,通过非法控车,获取例如像车辆定位数据、车主身份信息、车辆操作历史等一系列敏感信息。黑客可利用这些信息来实施身份盗窃、勒索、追踪等恶意行为。
3. 配合信息泄露漏洞如用于维持权限,则意味着黑客可以在系统中长期潜伏并继续进行攻击活动,而不被发现或清除。黑客可以利用这个漏洞来获取管理员权限并修改系统配置,或者在受感染的车辆上执行恶意代码。这可能会对车辆和驾驶员的安全造成严重威胁。
影响范围
Busybox ≤ 1.35-X 的车辆将受到安全威胁。
据评估统计,超过 1.58 亿的智能终端上使用了 Busybox 。这其中,有超过 1 亿智能终端上的 Busybox 版本低于 1.35,智能网联汽车系统中较普遍使用 Busybox 组件。
修复方式
鉴于受影响车辆较多,为辰安全实验室建议尽快将组件升级至官方最新版本。
漏洞验证
为辰信安支持对当前漏洞进行检测验证。
还没有评论,来说两句吧...