导 读
安全研究人员发现起亚经销商门户网站存在严重漏洞,黑客只需使用目标车辆的车牌即可定位并窃取 2013 年后生产的数百万辆起亚汽车。
2022 年,该研究小组的部分黑客,包括安全研究员和漏洞赏金猎人 Sam Curry,发现影响十多家汽车公司的其他严重漏洞 ,这些漏洞允许犯罪分子远程定位、禁用启动器、解锁和启动法拉利、宝马、劳斯莱斯、保时捷和其他汽车制造商生产的超过 1500 万辆汽车。
今天,安全研究人员 Neiko Rivera、Sam Curry、Justin Rhinehart 和 Ian Carroll表示:发现的起亚门户网站漏洞可在 30 秒内被利用来控制任何配备远程硬件的起亚汽车,无论该汽车是否拥有有效的 Kia Connect 订阅。
这些问题影响了几乎所有 2013 年后生产的车辆,甚至让攻击者秘密获取敏感信息,包括受害者的姓名、电话号码、电子邮件地址和实际地址。攻击者可能会滥用这一功能,在车主不知情的情况下将自己添加为目标车辆的第二个用户。
研究的关键在于,这些问题利用用于车辆激活的起亚经销商基础设施(“kiaconnect.kdealer[.]com”)通过 HTTP 请求注册一个虚假账户,然后生成访问令牌。
随后,该令牌与对经销商 APIGW 端点的另一个 HTTP 请求以及汽车的车辆识别号 (VIN) 结合使用,以获取车主的姓名、电话号码和电子邮件地址。
研究人员在起亚的 kiaconnect.kdealer.com 经销商门户上注册了一个经销商账户,以获取这些信息。
一旦通过身份验证,他们就会生成一个有效的访问令牌,该令牌使他们能够访问后端经销商 API,从而获得车主的关键详细信息以及对汽车遥控器的完全访问权限。
研究人员发现,只需发出四个 HTTP 请求,并最终执行互联网到车辆的命令,就有可能获得受害者车辆的访问权限:
使用上述方法生成经销商令牌并从 HTTP 响应中检索“令牌”标头
获取受害者的电子邮件地址和电话号码
使用泄露的电子邮件地址和 VIN 号码修改所有者的先前访问权限,以将攻击者添加为主要帐户持有人
将攻击者控制的电子邮件地址添加到受害车辆,作为车辆的主要所有者,从而允许运行任意命令
研究人员指出:“从受害者的角度来看,没有收到有关他们的车辆已被访问或访问权限被修改的通知。”
“攻击者可以解析某人的车牌,通过 API 输入他们的 VIN(车辆识别号),然后被动跟踪他们并发送解锁、启动或鸣喇叭等主动命令。”
在假设的攻击场景中,攻击者可以在自定义仪表板中输入起亚汽车的车牌,检索受害者的信息,然后在大约 30 秒后对车辆执行命令。
在 2024 年 6 月负责任地披露这些漏洞后,起亚于 2024 年 8 月 14 日解决了这些漏洞。没有证据表明这些漏洞曾在野外被利用。
新闻链接:
https://thehackernews.com/2024/09/hackers-could-have-remotely-controlled.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
25个与库尔德人有关的网站遭遇水坑攻击,传播恶意 APK 和间谍软件
https://thehackernews.com/2024/09/watering-hole-attack-on-kurdish-sites.html
Cloudflare 警告与印度有关的黑客正在针对南亚和东亚实体
https://thehackernews.com/2024/09/cloudflare-warns-of-india-linked.html
朝鲜黑客在针对性攻击中部署新型 KLogEXE 和 FPSpy 恶意软件
https://thehackernews.com/2024/09/n-korean-hackers-deploy-new-klogexe-and.html
一般威胁事件
General Threat Incidents
新的 RomCom 恶意软件变种“SnipBot”被发现用于数据窃取攻击
https://www.bleepingcomputer.com/news/security/new-romcom-malware-variant-snipbot-spotted-in-data-theft-attacks/
起亚经销商门户网站漏洞可能让攻击者仅通过车牌号即可入侵数百万辆汽车
https://thehackernews.com/2024/09/hackers-could-have-remotely-controlled.html
勒索软件组织声称窃取了 AutoCanada 的财务、员工和销售数据
https://canada.autonews.com/retail/ransomware-outfit-claims-have-stolen-financial-employee-sales-data-autocanada
英国对影响多座火车站的 Wi-Fi 服务黑客事件展开调查
https://www.securityweek.com/police-are-probing-a-cyberattack-on-wi-fi-networks-at-uk-train-stations/
美国运输和物流公司成为信息窃取者和后门的目标
https://www.securityweek.com/us-transportation-and-logistics-firms-targeted-with-infostealers-backdoors/
3191 名美国国会工作人员的数据在暗网中泄露
https://securityaffairs.com/168912/deep-web/3000-congressional-staffers-data-leaked-dark-web.html
漏洞事件
Vulnerability Incidents
TeamViewer for Windows 漏洞可让攻击者提升权限
https://cybersecuritynews.com/teamviewer-for-windows-vulnerability/
思科修补 IOS 软件中的高危漏洞
https://www.securityweek.com/cisco-patches-high-severity-vulnerabilities-in-ios-software-2/
Nvidia 容器严重缺陷导致云 AI 系统面临主机接管风险
https://www.securityweek.com/critical-nvidia-container-flaw-exposes-cloud-ai-systems-to-host-takeover/
OpenPLC 中修补了远程代码执行和 DoS 漏洞
https://www.securityweek.com/remote-code-execution-dos-vulnerabilities-patched-in-openplc/
CUPS 开源打印系统漏洞可导致 Linux 远程代码执行
https://www.bleepingcomputer.com/news/security/cups-flaws-enable-linux-remote-code-execution-but-theres-a-catch/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...