青骥原创 l 2024年车联网重大安全事件汇总

现代 MEA（Middle East & Africa，即中东和非洲）的 Twitter 账号 X 被黑客劫

持，账号名称被更改为 Overworld，并发布了多篇旨在引流至恶意加密货币网站的推文，通过诱人的条件诱导用户注册该网站。当用户绑定加密钱包时,钱包中的虚拟货币和 NFT 将被窃取。

Overword 是一款由币安加密货币交易所的风险投资和孵化器部门币安实验室支持的跨平台多人 RPG 游戏。由于 Overworld 经常在类似的骗局中被冒充，因此Overworld 经常警告其 Twitter 粉丝：'请谨慎行事，远离那些冒充我们账户的人。只点击官方@OverworldPlay Twitter 账户的链接。

现代公司已经重新获取了该账号的控制权，并清除了攻击者发布的所有旨在引导用户跳转到恶意网站的链接。

黑客越来越多地以通过认证的政府和企业 Twitter 账户为目标，通过发布恶意推文来增强其合法性，进而推送加密货币骗局、网络钓鱼网站以及传播加密货币窃取相关的网站。同期，Netgear 和美国证券交易委员会的 Twitter 账号也遭到了黑客的入侵。

现代汽车印度子公司修复影响南亚客户个人信息泄露漏洞,泄露的信息包括姓名、邮寄地址、电子邮箱地址、电话号码、车牌号、发动机号、行驶里程等。受影响的用户为曾在在印度授权服务站点维修过车辆的用户。TechCrunch(雅虎旗下科技媒体) 从不愿透露姓名的安全研究员了解到,该漏洞是因为现代汽车印度公司授权服务站在维修中通过 WhatsApp 与客户分享维修订单和发票获取链接,因链接中包含电话号码造成了客户的个人信息的暴露。可以通过更改链接中的电话号码来暴露其他客户的信息。

在确认研究人员的发现后，TechCrunch 于 12 月 29 日向现代汽车印度公司发送了邮件。在 1 月 4 日收到回复后，TechCrunch 向现代汽车印度公司详细披露了漏洞信息。鉴于漏洞虽然简单但影响严重，TechCrunch 要求现代汽车印度公司在 7 天内完成漏洞修复工作。1 月 11 日,漏洞被修复,相关链接被重定向到错误页面,不再可用。

为期三天(2024 年 1 月 24 日到 26 日)的首届 Pwn2Own 汽车大赛落下帷幕,共发放 1323750 美元的赏金,参赛选手共发现 49 个唯一 0day 漏洞。Synacktiv 团队以 45 万美元的赏金、50 个积分点的成绩成功摘得 Master of Pwn 的桂冠。2023 年 8 月 29 日，ZDI 公布了首届 PWN2OWN Automotive 大赛的参赛对象，涵盖了汽车充电桩和车载操作系统等多个领域。

· 汽车: Tesla

· 车机: Sony XAV-AX550、Alpine Halo iLX-F509、Pioneer DMH-WT600NEX· 充电桩: ChargePoint、Phoenix、EMPORIA、JuiceBOX、Autel、Ubiquiti· 车载操作系统: AGL、QNX、Android Automotive OS

除 QNX 和 Android Automotive OS 外，Tesla、所有充电桩以及 AGL 操作系统均被参赛团队成功攻破。

美国密苏里州堪萨斯城的主要公共交通运营商——堪萨斯城地区运输管理局（KCATA）遭受了勒索软件的攻击。KCATA 在密苏里州和堪萨斯州的七个县运营地铁和 78 条公交线路。截至 2022 年，该公司的总客运量已超过 1050 万人次。攻击发生的第二天,KCATA 发表声明,宣布在外部专家的参与下启动调查,并通知了包括联邦调查局在内的相关当局。该公司表示,网络攻击并未影响交通服务,包括公交路线和辅助交通服务。然而,这导致了区域呼叫中心的工作中断。黑客组织美杜莎声称对此次攻击负责，并在其 Tor 网站上发布了从 KCATA 窃取的数据样本，以此作为攻击的证据。美杜莎威胁称，除非 KCATA 支付 200万美元的赎金，否则将公布所有被盗数据。

RedHunt Labs 的攻击面管理研究团队在进行例行互联网扫描时，发现梅赛德斯奔驰员工的身份验证令牌被暴露在公共 GitHub 存储库中。泄露的令牌提供对梅赛德斯内部 GitHub Enterprise Server 的不受限制的访问,任何人都可 以检索的私有源代码存储库。其中包括源代码、数据库访问凭证、云服务访问凭证、设计文档等。此令牌自 2023 年 9 月下旬以来在网上暴露长达 4 个月。目前尚无法确定是否有其他人未经授权访问了这些内部数据。梅赛德斯拒绝透露是否存在任何第三方访问了暴露的数据。

RedHunt Labs 将其调查结果与 TechCrunch 进行了分享，并在媒体的协助下，将此事告知了汽车制造商。TechCrunch 于周一向梅赛德斯披露了这一重大的安全问题。周三,梅赛德斯发言人 Katja Liesenfeld 证实,并立即撤销了相应的API 令牌并删除了公共存储库。

总部位于德国的现代汽车欧洲分部遭受了 Black Basta 勒索软件的攻击，导致3TB 的企业数据被盗。

一月初，安全媒体 BleepingComputer 在得知攻击发生后，立即就此事件联系了现代汽车。现代汽车回应称，公司正在经历 IT 问题，并将尽快解决。在进一步共享信息后,现代汽车确认欧洲分部遭受到了网络攻击,未授权第三方访问了受限网络,窃取了 3TB 企业数据。

Black Basta 是一种勒索软件，同时也是一种提供勒索软件即服务（RaaS）的犯罪组织。该组织于 2022 年初首次出现，并迅速成为世界上最活跃的 RaaS 威胁行为者之一。在其运营的前几个月内，就造成了 19 个知名企业受害，并确认了超过 100 个受害者。Black Basta 针对美国、日本、加拿大、英国、澳大利亚和新西兰的组织进行高度定向 的攻击,而不是采用随机攻击的方式。该组织采用了双重勒索策略，一方面加密受害者的关键数据和重要服务器，另一方面则威胁在组织的公开泄露网站上发布敏感数据。据推测,Black Basta 的核心成员来自已解散的 Conti 威胁 行为者组织,因为它们在恶意软件开发、泄露网站和谈判、支付和数据恢复的通信方面存在相似之处。

VARTA 瓦尔塔,隶属于 Clarios 柯锐世™(原江森自控能源动力),1887 年成立于德

国哈根,是欧洲最著名的汽车蓄电池品牌。

由于部分 IT 基础设施遭到攻击,该公司不得不停止运行 IT 系统并断开与互联网的连接,以确保安全。目前尚不清楚该事件造成的总体损失。

为了应对此次攻击,VARTA 启动了应急计划,成立了一个由网络安全专家和计算机取证专家组成的工作组,以帮助恢复系统。VARTA 的首要任务是确保数据完整性,并决定主动关闭系统。

网络攻击消息公布后,五家工厂(Ellwangen, Nördlingen, DischiVARTA 位于Brasov（罗马尼亚）和 Batam（印度尼西亚）的生产业务被关闭，且未明确恢复正常运营的时间表，这一事件导致 VARTA 的股价下跌了 4.75%。

SOCRadar 的研究人员在日常例行互联网公共云资源扫描过程中，发现 BMW因配置错误而暴露了云存储桶，即将原本应在开发环境中使用的 Azure 存储桶错误地配置为公共可访问状态。在暴露的文件(azconfig.io)中存在高敏感数据,如开发和正式环境的数据库连接信息、Azure Docker 认证信息、私有存储桶私钥等。这些云服务影响到北美、欧洲、中国。

BMW 对此次数据泄露事件作出回应，表示将加强对云资源的持续监控，并确认泄露的数据中未涉及客户或个人信息。

Cybellum 产品安全平台是汽车固件安全检测与管理领域使用最为广泛的产品之一，被众多 OEM、Tier 1 厂商及检测机构广泛使用，包括 BMW、奥迪、日产、长城、捷豹路虎、合众汽车等主机厂，以及电装、哈曼、维宁尔、弗吉亚、Mobileye 等供应商，还有中汽中心、中国汽研、赛迪、赛宝等检测机构。星舆实验室安全研究员 @Delikely 与中国汽研安全研究员 @Imweekend 发现该平台存在安全缺陷，即平台预留了能够执行任意代码的后门接口。尽管该接口受到了保护，仅允许签名且加密的数据执行，但存在密钥使用不当的问题，即签名和加解密使用了同一套密钥，且密钥以明文形式存储在该平台中，容易被攻击者获取。攻击者一旦获取密钥，便可通过加密和签名攻击载荷来实现任意代码执行。

应用中的产品检测平台留存的检测记录中包含大量的敏感信息,如未加密的固件、私钥、检测报告等。当前 CYBELLUM 已下发更新修复了此漏洞,推荐在授权期以内的通过更新修复,已过授权期的建议 下线此平台。

Qmerit 是一家专注于电动汽车充电解决方案的公司，致力于电动汽车充电基础设施的安装和维护，并与多家顶级汽车制造商建立了合作关系。在 2024 年，Qmerit 被选为通用能源住宅产品的首选安装商，并声称已在北美完成了超过269,000 个充电器的安装。

安全研究员 Jeremiah Fowler 发现了电动汽车服务提供商 Qmerit 的一个未受保护的数据库，该数据库暴露了 573,309 条记录。暴露的数据库大小总计 585.81

GB,包含大量文档,例如发票、价格建议、电力许可证,以及客户提交的调查表信息,包括其房屋图像和充电器位置等详细信息。该泄露可能导致身份盗用、欺诈和隐私问题。

Qmerit 在收到通知后迅速保护了数据库。并建议客户和承包商验证可疑请求并确保数据安全。

日产北美公司（NNA）于 5 月 15 日通知消费者，勒索软件攻击导致与 NNA 员工相关的一些个人信息丢失，其中包括社会安全号码等敏感信息。NNA 在向缅因州总检察长办公室提交的文件中明确指出，此次网络安全事件影响了 53,038人，其中包括 NNA 员工及消费者。

泄露日期为 2023 年 11 月 7 日。NNA 在 12 月 5 日的市政厅会议上向所有现任员工通报了该事件,称某些员工的个人信息可能已被访问,NNA 将通知受影响的个人调查。NNA 在文件中称,实际违规行为是在今年 2 月 28 日发现的。 NNA表示,通过调查,其了解到犯罪威胁行为者从 NNA 的多个本地和网络共享访问了数据,但没有加密任何数据或使 NNA 的任何系统无法运行。

日产发言人表示，当威胁行为者故意访问并导致一些非生产系统短暂关闭时，该汽车制造商才意识到遭受了此次攻击。

NNA 表示,自攻击发生以来,采取了多项措施来加强其安全环境,包括在整个企业范围内重置密码、在所有兼容系统上实施 Carbon Black 监控、漏洞扫描以及其他解决未经授权访问的措施。

全球领先汽车零部件和配件零售商 Advance Auto Parts 在美国经营着 4,777 家门店和 320 家 Worldpac 分店,在加拿大、波多黎各和美属维尔京群岛设有分店。还为这些地区以及墨西哥和加勒比海各岛屿的 1,152 家独立拥有的Carquest 品牌门店提供服务。

在数据泄露论坛上，名为 Sp1d3r 的数据售卖方声称已从 Advance Auto Parts的 Snowflake 云存储中窃取了 3TB 的数据，并将被盗信息以 150 万美元的价格出售。其中包括,

· 3.8 亿份客户资料,包含姓名、电子邮件、手机号码、电话号码、地址等· 4400 万个会员卡/加油卡号以及客户详细信息。

· 358,000 名员工的信息；

· 汽车零件和零件编号；· 1.4 亿客户订单；

· 销售历史数据；

· 就业候选人信息,包括社会安全号码、驾驶执照号码和人口统计详细信息；

· 交易投标详情；

· 超过 200 个各种数据的表格等；

Advance Auto Parts 数据泄露事件是近期针对云存储公司 Snowflake 客户的一系列攻击之一。在此之前，Ticketmaster 的母公司 Live Nation 也曾遭遇一起重大数据泄露事件，黑客声称已窃取 5.6 亿客户的个人详细信息，并将被盗数据托管在 Snowflake 的云存储中。

针对此次入侵事件,Snowflake 和第三方网络安全专家 CrowdStrike 和 Mandiant发表了一份联合声明,称他们正在对针对部分 Snowflake 客户账户的针对性威胁活动进行调查。他们正在努力了解入侵的程度并减轻其影响。

CDK Global 是全球领先的汽车技术解决方案提供商,为汽车经销商提供客户关系管理(CRM)、经销商管理系统(DMS)、网络与通讯等技术产品与服务,服务着全球超 15000 家经销商客户,拥有数千名员工。

此次攻击事件发生在 6 月中旬,CDK Global 接连遭到两次勒索软件攻击,导致其数据中心、IT 系统被迫关闭。攻击带来的影响迅速扩散,使用 CDK Global 服务的 Asbury Automotive Group, AutoNation, Group 1 Automotive, Lithia Motors,and Sonic Automotive 等经销商均受到了波及。由于涉及销售、交易、库存管理等业务被中断,绝大部分业务陷入停滞,经销商不得不使用纸笔处理订单,对该月汽车销量造成了一定影响。

CDK Global 为恢 复因勒索软件攻击而中断的核心系统,疑似向勒索组织BlackSuit 支付了 2500 万美元的赎金。

Modern Auto 是美国北卡罗来纳州的汽车经销商,销售凯迪拉克、雪佛兰、福特、现代、马自达、丰田等品牌的新车以及二手车。

7 月 18 日 BlackByte 公开了 Modern Auto 4.2G 某组织以一组数据作为样例，并索要高达 6500 万的赎金。

2024 年 7 月,约 14000 条 BMW(香港)客户信息泄露,数据发布在一个活跃的黑客论坛上。

宝马香港方面表示，此次事件涉及第三方机构在处理客户数据时的信息泄露问题。调查发现有一万四千名客户资料,包括姓名、手机号码等泄露,已经报警及通报私隐专员公署,同时外聘网路安全专家展开全面调查。

安全公司 IOActive 的研究员 Josep Pi Rodríguez 披露,Reviver 的数字车牌存在安全漏洞,可能被“越狱”。研究表明,电子车牌可通过故障注入攻击绕过 JTAG 调试接口保护,从而访问片上 Flash 中的固件。故障注入攻击需要将线束连接到车牌内部芯片、监测电压,并在特定时刻通过“电压干扰”关闭安全功能,以分析和重

写固件。攻击者可以通过刷写自定义固件,完全控制电子车牌。

研究人员演示了通过刷写新固件后,利用手机应用通过 BLE 连 接车牌修改显示内容。此攻击手段使得能够随意更改车牌号码,规避交通罚单和过路费,甚至将罚单转嫁给他人。不仅可以用来越狱自己的车牌,还可能被用来针对毫不知情的车主。如果黑客、停车服务员或汽车修理工能够拆 下车牌并安装自己的固件,他们便可秘密跟踪车主,甚至通过将车牌连接到黑客控制的服务器,远程更改车牌号码。

美国多个州已经合法化数字车牌的购买,并允许在全国范围内使用。与传统金属车牌相比,数字车牌具有动态显示、个性化定制以及车辆状态更新(如标记被盗)的优势。Reviver 是数字车牌的主要供应商,已销售约 6.5 万块车牌。

通用汽车公司被美国得克萨斯州起诉,其被指控在 1400 多万辆汽车上安装了收集驾驶员数据的技术,然后在未经驾驶员同意的情况下将这些数据出售给保险公司和其他公司。

德克萨斯州总检察长肯·帕克斯顿(Ken Paxton)对通用汽车(General Motors)及其子公司安吉星(OnStar)提起诉讼,指控这两家公司在未经得客户知情或同意的情况下,收集并出售了超过 180 万德克萨斯居民的私人驾驶数据给保险公司,违反了数据隐私法规。并将这些信息出售给其他几家公司，其中包括至少两家为通用汽车客户生成‘驾驶得分’的机构。

此次诉讼源于 2024 年 6 月的一项调查,调查对象是几家汽车制造商是否在驾驶员不知情的情况下收集并出售了大量数据。通用汽车在客户购买车辆时,通过其“上车”过程中的 OnStar Smart Driver 等产品,迫使客户注册,告诉他们如果不注册将导致车辆安全功能的停用。然而通过注册,客户实际上“同意”了通用汽车收集和出售他们的数据。尽管通用汽车在相关披露中提供了冗长且复杂的说明，但从未明确告知客户其实际行为，即系统地收集和出售客户的详细驾驶数据。

通用汽车通过其安装在 2015 年及以后车型中的技术,收集、记录、分析并传输了关于每次驾驶使用的极其详细的驾驶数据。采集的数据被用于编制“驾驶评分”,评估该州 180 多万名司机是否有超速、刹车过快、转弯时转向过猛、不系安全带和深夜驾驶等“不良习惯”。在未经驾驶员同意的情况下将这些得分出售给保险公司和其他公司。保险公司可以利用这些数据来决定是否提高保费、取消保单或拒绝承保。

安全研究人员发现起亚汽车经销商管理系统存在多个漏洞,仅利用 VIN 码就能够远程控制车辆,包括获取个人信息、将攻击者添加为车辆的隐藏用户。受影响的车型包括 2014 款至 2025 款 CARNIVAL、K5、SELTOS、SORENTO 等车型, 共约 15.5 百万辆车。

Kia 经销商管理系统身份管理存在缺陷,导致能够生成高权限的经销商认证凭证。使用生成的认证凭证能够将攻击者添加为第一车主。从而实现车辆接管,远程控制车辆。接管车辆的只需要 5 步, 且过程中车主不会收到任何提醒。

1. 发送请求以生成具有经销商高权限的认证凭证；

2. 通过 VIN 码查询到车主的电话或电子邮箱;

3. 利用电子邮箱和 VIN 码将车主权限降级，以便为车辆添加新的车主；

4. 添加攻击者邮箱为车辆的第一用户,完成接管;5. 使用添加的账号,追踪车辆、解锁、启动车辆等。

接管指定车辆只需要知道 VIN 码,VIN 码可从主驾前挡风玻璃处从车外直接查看。此外,还可以使用第三方 API 根据车牌号查询到 VIN 码。

8Base 勒索软件团伙声称已成功窃取大众汽车的大量文件，并威胁将公开这些文件内容。LeMagIT 编辑向大众证实确认遭到勒索攻击。发言人称“此时事件是已知的,大众集团的 IT 基础设施不受影响。将继续密切关注情况”。

9 月 23 日 8Base 下载了大众集团大量文件,9 月 26 日在其网站公开发布勒索信息。目前 8Base 设置的赎金支付时间已过期。

该组织称其窃取了大量机密信息,包括

· 发票、收据和会计凭证

· 个人数据

· 证书

· 员工通信录

· 大量凭证信息

· 保密协议

· 个人文件等。

来自 Synacktiv 的两位安全研究员 David Berard 和 Thomas Imbert 在 Hexacon安全会议上详细分享了他们在 PWN2OWN Automotive 竞赛中成功攻破 TeslaModel 3 的漏洞细节，题为《通过 TPMS 传感器实现 Tesla Model 3 的零点击远程代码执行》。

TPMS 传感器 (Tire-Pressure Monitoring System) 用于监测轮胎压力和温度,是车辆的强制要求。确保车辆安全行驶。早期使用 433 MHz 无线电,Tesla 现采用低功耗蓝牙,通过 BLE GATT 特性。

Tesla 的 VCSEC ECU 在 处理 x509 证书时的整数溢出漏洞。该问题源于不正确的证书解析,在验证证书分片时存在整数溢出漏洞(integer overflow),导致越界写操作(OOB write),攻击者可以利用该漏洞控制程序流程。这使得攻击者能够利用此缺陷重写内存结构,从而控制函数指针并跳转到恶意代码。

攻击者需要伪造 TPMS 传感器,并通过 BLE 广播消息与 VCSEC ECU 建立连接,然后发送精心构造的证书数据触发整数溢出漏洞,控制程序流程,最终执行任意代码。后续可以利用漏洞发送 CAN 消息,控制车辆行为,例如解锁车门、启动引

擎、刹车等。

来自 PCAutomotive 的安全研究员 Mikhail Evdokimov (@konatabrk)在安全会议 Hexacon 上分享了他们在 PWN2OWN Automotive 中攻破 Alpine Halo9 信息娱 乐 系 统 的 技 术 细 节 《 0-click RCE on the IVI component: Pwn2OwnAutomotive edition》。蓝牙协议栈中存在 UAF 漏洞,在无交互的情况下能够实现任意代码执行。

CVE-2024-编 号 为 23923 的 漏 洞 报 告 指 出 ， Alpine Halo9 的prh_l2_sar_data_ind 组件存在 Use-After-Free 远程代码执行漏洞，该漏洞使得网络相邻的攻击者能够在受影响的 Alpine Halo9 设备上执行任意代码。

10 月 23 日,日本汽车零部件供应商万宝井(YOROZU)确认遭遇勒索软件攻击。此次攻击导致万宝井部分服务器中的文件被加密，并有 849GB 的数据被窃取，这些数据涉及日产、本田和丰田等汽车制造商的机密文件。

万宝井成立于 1948 年,最初隶属于日产集团,专注于汽车底盘悬挂系统的生产,主要为日产、通用、本田、丰田、马自达、富士重工、铃木、三菱、福特、日野和雷诺等多家汽车企业提供配件。

公司在声明中表示,攻击于 10 月 14 日首次被发现,当时多个文件被加密,无法正常访问。万宝井公司迅速成立了网络安全事件响应小组，展开全面调查，并将受感染的服务器从互联网和内部网络中隔离，以防止攻击进一步扩散。

勒索软件组织 RansomHub 宣称对此次攻击负责,并表示已经成功窃取 849GB的机密数据,包括与其合作汽车制造商有关的合同、技术文档、预算报告、生产技术、会计文件、保险记录、人力资源文件、数据库和开发文档。

ZDI 安全研究人员 Dmitry Janushkevich 发现 Mazda 多款车型使用的信息娱乐主机 CMU(CONNECTIVITY MASTER UNIT)存在多个高危漏洞,影响车辆包括2014-2021 款 Mazda3。CMU 主机伟世通制造的,而软件的初始版本是江森自控开发的。CMU 系统由 SoC 和 VIP MCU 两部分组成,SoC 采用 Linux 系统,VIPMCU 使用未知的 RTOS 系统。

攻击者可以通过构造特制的 USB 设备（如 iPod 或大容量存储设备）与目标系统连接，从而利用这些漏洞。成功利用其中的一些漏洞将能够以 Root 权限执行任意代码。这些漏洞影响最新软件版本 (74.00.324A) 及以下版本。截至目前，相关供应商尚未发布针对这些漏洞的修补措施。

· CVE-2024-8355: 一个存在于 DeviceManager 中的 iAP 序列号 SQL 注入漏洞,允许 通过连接的苹果设备进行 SQL 注入攻击,进而以 root 权限篡改数据库,甚至

是任意代码执行。由于输入长度被限制为 0x36 字节，因此对该漏洞的利用受到一定限制。然而，攻击者可以通过将多个伪造的 iPod 设备依次连接，每个iPod 都注入自己的 SQL 语句来替代序列号，从而绕过这一限制。

· CVE-2024-8356:MCU 更新程序未对刷写包进行合法性校验,可以使用未签名刷写包进行更新,从而允许攻击者从运行 Linux 的 SoC 横向到 MCU 中,实现直接访问 CAN 总线,发送任意 CAN 报文。

· CVE-2024-8357:运行 Linux 的应用程序 SoC 缺少硬件信任根,这允许攻击者操纵根文件系统、配置数据和引导代码,以实现持久化、SSH 密钥安装以及代码执行。

· CVE-2024-8358、CVE-2024-8359、CVE-2024-8360 是系统更新处理中对于输入过滤不充分导致的命令注入漏洞。如利用以.up 结尾的更新文件的文件名实现命令注入。

ZDI 指出，这种攻击在实验室环境中可以在几分钟内完成，而在现实世界中，攻击者同样可以在较短的时间内实施，例如当汽车由代客泊车员处理、在同乘过程中或通过 USB 恶意软件执行时。CMU 在被攻陷后,还能借助 CMU 开展进一步攻击。例如,试图在有针对性的攻击中攻击任何连接的设备,从而导致 DoS、破坏、勒索软件、影响功能安全等。

PCAutomotive 发现了多个安全漏洞，这些漏洞可能使潜在攻击者能够在 EnelX JuiceBox（Waybox）Pro 和 Plus 3.0 挂式充电桩的操作系统中获取最高权限。在获取最高权限后，攻击者能够访问充电器上存储的敏感数据，绕过设备所有者设置的充电限制，导致充电器拒绝服务，甚至修改固件。

· CVE-2023-29114: 系统日志泄露,日志页面 /admin/log.php 包含 Wi-Fi 凭证、APN 地址与凭证、IPSEC 凭证、WEB 管理后台登录凭证,C2G 配置等敏感信息。

· CVE-2023-29115:通过 Web 管理界面拒绝服务,访问 /admin/reboot.php 重启充电桩。

· CVE-2023-29116: PHP 信息泄露,访问 /admin/phpinfo.php 可获取 php 版本、服务器环境变量等信息。

·

CVE-2023-29117: 身 份 验 证 绕 过 ,访 问

/api/command.php?action=set_param¶m=adminPasswordVisible&value

s=True 之后,明文密码将会出现在主页登录表单上。

· CVE-2023-29118,CVE-2023-29119:未授权的 SQLite 注入。· CVE-2023-29120:wifi_check 中 ssid 参数的未授权命令注入。

· CVE-2023-29121: 暴露 TCF 代理服务,1534 端口作为 Eclipse 调试接口,攻击者能够调试程序、修改文件系统以及获取 root shell。

· CVE-2023-29122: 特权服务库的文件所有权不正确,CM_main.exe 以 root 权限运行,而使用到的 so 库的所属用户和组却是 daemon。

· CVE-2023-29125: CM_main.exe 监听在 7700 端口,接收到的消息 body 部分长度大于 0x20000 会导致堆溢出。

· CVE-2023-29126: 不安全的松散比较,在密码对比的时候使用==松散比较,如 0会等于 0e1234。这将会降低攻击者的破解密码的复杂度。

这些漏洞影响 2.1.1.0_JB3VU096A 之前的固件版本。每一个 充电桩都有一个WEB 管理后台,可以通过连接 Wi-Fi 或者前面板下方的以太网接口接入。管理后台的默认密码可以从 Enel X 官网上的安全手册中查询获取。

汽车安全公司 PCAutomotive 在黑帽欧洲大会(Black Hat Europe)上披露了 12个影响斯柯达 Superb III 轿车最新款的安全漏洞。PCAutomotive 曾在 2023 年11 月 22 日揭露该车型的 9 个中低危漏洞,此次披露多个高危漏洞,包括picserver 整数溢出和堆溢出、BL2 安全启动绕过、网络服务存在命令注入、缺乏访问控制机制、明文存储电话本通信录等。

这些漏洞存在于斯柯达 Superb III 车载 MIB3 信息娱乐单元中,广泛应用于大众集团的多个车型中,涵盖了包括蓝牙连接、GPS 导航、娱乐音频和通讯同步等多个功能。成功利用这些漏洞,将实现不受限制的代码执行,并在每次该单元启动时运行恶意代码。这使得攻击者能够获取汽车的 GPS 实时位置和速度数据,记录车内对话(通过车载麦克风),截取车载显示屏的截图,甚至在车内攻击者仅需通过蓝牙与斯柯达 Superb III 车型的媒体单元建立连接，即可利用存在的漏洞执行任意声音播放等攻击行为。

这些存在安全漏洞的 MIB3 信息娱乐单元不仅影响斯柯达 Superb III 车型，还广泛搭载于大众和斯柯达品牌旗下的多款其他车型中。基于公开的销售数据，PCAutomotive 估算，当前市场上可能存在超过 140 万辆车辆面临类似的安全隐患。

在获悉这些安全漏洞后，大众汽车迅速采取了修复措施，并发布了相应的安全补丁。大众公司表示,漏洞已通过网络安全披露程序得到解决,且车主的安全和车辆的驾驶功能未受到威胁。

勒索组织 RansomHub 在其暗网公开,其窃取了 scania.pl(斯堪尼亚波兰) 1.2 TB数据。

Scania Polska S.A.是斯卡尼亚集团在波兰设立的子公司，专注于提供重型卡车和公共汽车等运输解决方案，以及涵盖车辆融资、保险和租赁在内的广泛相关服务。

随着智慧城市的建设步伐加快,智慧停车作为一种创新的服务模式,在提升城市交通管理效率、改善市民出行体验方面起到了积极的作用。然而,最近央视财经的一篇报道揭露了智慧停车系统中存在的个人信息安 全问题,引起了社会广泛关注。

在智慧停车的过程中,当车辆进入或离开停车场时,系统会自动记录车辆的进出时间、车牌号码以及停留位置等数据。这些数据对于停车场管理者来说是用于优化车位分 配和收费结算的基础资料。停车信息包括了车辆进入和离开某个地点的完整闭环,属于《个人信息保护法》规定的敏感个人信息中的行踪轨迹信息。然而，央视的调查显示，一些不法分子能够在远离目标车辆的位置，仅通过输入车牌号，无需任何身份验证，即可轻易获取车辆所在停车场及其入场时间等关键信息，这实际上使车主在数字世界中处于完全暴露的状态。一旦这些信息被别有用心的人所掌握，可能会引发人身安全受到威胁、财物损失等一系列严重的后果。

总台记者了解到,有犯罪分子利用“智慧停车”系统中的数据接口漏洞,破解停车场的数据库。他们首先通过互联网接单，为客户寻找指定的车辆。一旦目标车辆进入其破解能力范围内的停车场，他们便会将实时的停车信息反馈给下游的寻车团伙。短则几分钟,就会有贴手接单出发,直达停车场,拍摄车辆信息,并偷偷将GPS 追踪器贴到目标车辆的隐蔽位置。根据警方提供的资料，这些负责在车辆上安装 GPS 追踪器的贴手，以及位于上游、负责入侵停车场数据系统的不法分子，均从中获得了巨额利润。

在第 38 界 Chaos Computer Club(CCC) 大会上,CCC 安全分析师 Flüpke 和记者Michael Kreil 披露大众汽车大量数据暴露在公网中。 大众汽车集团子公司CARIAD 在亚马逊云中存储了 807,357 辆电动汽车的详细的运行数据以及大量车主信息。这些数据的访问凭证能够被未授权获取到。数据包括超过 1500 万的车架号、车型、制造年份、国家/地区、用户 ID;超过 60 万的用户数据,用户ID、姓名、电子邮件、手机号、出生日期;9.5TB 车辆状态数据,包括定位坐标数据等。

其中的定位数据可以精确到 10 厘米。因此暴露个人的行动轨迹及其他更敏感的行为数据。这一安全漏洞使得攻击者能够实现对用户行踪的极为精准的追踪。《明镜周刊》报道展示了两名德国政治人物的行踪泄露。一名德国国防委员会成员的行踪被定位在其父亲的养老院及德国军事基地,而一位市长的车则记录了她从市政厅到治疗师处的移动轨迹。报告中还包括了汉堡警察局的 35 辆电动车、其他政治人物、商界领袖以及一些与美国空军拉姆施泰因空军基地有关的司机的信息。

数据泄露的根因在于服务器采用的 SpringBoot 的 Heapdump(内存转储)能够被未授权获取,其中包含 AWS(亚马逊云)的访问凭证。从而导致其中存储的大量数据存在泄露的风险。这些数据影响大众、西雅特、奥迪和斯柯达品牌的车辆。

在 Cariad 和大众集团总部等公司收到了 CCC 的通知后,几个小时内做出了反应,甚至没有试图淡化事件的严重程度。漏洞已被修复,未经授权的人员无法再访问这些数据。

更多信息见：

https://autosec-timeline.delikely.eu.org