（談思汽車(chē)訊）2月21日，有媒體報(bào)道稱(chēng)，國(guó)外知名產(chǎn)品安全平臺(tái)Cybellum存在高危漏洞，由于該平臺(tái)被絕大多數(shù)的OEM、Tire1以及檢測(cè)機(jī)構(gòu)廣泛用于固件安全檢測(cè)與管理，消息一經(jīng)發(fā)布，即引發(fā)了業(yè)內(nèi)人士關(guān)注。

01知名安全平臺(tái)被曝漏洞，官方反應(yīng)迅速

據(jù)報(bào)道，星輿實(shí)驗(yàn)室安全研究員@Delikely與中國(guó)汽研安全研究員@Imweekend發(fā)現(xiàn)該平臺(tái)存在安全缺陷。

目前，Cybellum已下發(fā)更新修復(fù)了此漏洞。報(bào)道顯示，Cybellum于去年6月到9月已向所有客戶發(fā)布并部署了修復(fù)程序，問(wèn)題的細(xì)節(jié)也已于今年2月18日對(duì)外公開(kāi)。

對(duì)于該漏洞引發(fā)的關(guān)注，談思汽車(chē)留意到，Cybellum官方第一時(shí)間在其官網(wǎng)做出了回復(fù)：“星輿實(shí)驗(yàn)室和中國(guó)汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心的安全研究人員報(bào)告的問(wèn)題存在于Cybellum的QCOW air-gapped的維護(hù)服務(wù)器中，該發(fā)行版僅在中國(guó)部署，影響了版本 2.15.5 到 2.27。在版本 2.28 中引入并實(shí)施了永久修復(fù)。除此之外，我們還檢查了易受攻擊的系統(tǒng)，沒(méi)有發(fā)現(xiàn)任何被利用的證據(jù)。”

下為Cybellum官方回應(yīng)全文：

安全更新：解決 Cybellum 的維護(hù)服務(wù)器問(wèn)題 （CVE-2023-42419）

2024年2月21日

我們想告知客戶一個(gè)引起我們注意的安全問(wèn)題，這是我們對(duì)透明度和產(chǎn)品持續(xù)安全承諾的一部分。

2023 年 6 月 21 日，星輿實(shí)驗(yàn)室和中國(guó)汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心的安全研究人員向 Cybellum的安全團(tuán)隊(duì)報(bào)告了一個(gè)問(wèn)題，特別是在 Cybellum 軟件的某個(gè)發(fā)行版中。

這個(gè)問(wèn)題是在Cybellum的QCOW air-gapped分布的維護(hù)服務(wù)器中發(fā)現(xiàn)的，專(zhuān)門(mén)在中國(guó)部署，影響版本 為2.15.5到2.27。

它不會(huì)影響較舊或較新的版本，包括 Cybellum 1.x。

這個(gè)問(wèn)題源于Cybellum的QCOW發(fā)行版中的一個(gè)私有加密密鑰，并且很快就通過(guò)應(yīng)用于受影響客戶系統(tǒng)的熱補(bǔ)丁進(jìn)行了解決。

在2.28版中引入并實(shí)現(xiàn)了永久性修復(fù)。除此之外，我們還檢查了易受攻擊的系統(tǒng)，沒(méi)有發(fā)現(xiàn)被利用的證據(jù)。

要利用這個(gè)問(wèn)題，攻擊者需要滿足兩個(gè)條件:

訪問(wèn)QCOW air-gapped分布的維護(hù)服務(wù)器（專(zhuān)門(mén)部署在中國(guó)）。

獲取管理員接入密鑰。

利用這個(gè)問(wèn)題的可能性非常低，因?yàn)樗枰疃染W(wǎng)絡(luò)滲透并且擁有管理員密鑰。需要強(qiáng)調(diào)的是，這個(gè)問(wèn)題不會(huì)影響:

Cybellum 1.x 版本

Cybellum 2.0到2.15.4版本

Cybellum 2.28及以上版本

此外，在中國(guó)以外發(fā)行的版本不受影響。

我們感謝星輿實(shí)驗(yàn)室和中國(guó)汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心負(fù)責(zé)任地披露了這個(gè)問(wèn)題。在Cybellum，我們非常認(rèn)真地對(duì)待安全問(wèn)題，并致力于保持最高的安全標(biāo)準(zhǔn)。我們感謝社區(qū)的警惕和支持幫助我們改進(jìn)我們的產(chǎn)品。這樣的合作努力對(duì)我們提供安全可靠的軟件的持續(xù)使命來(lái)說(shuō)是非常寶貴的。

常見(jiàn)問(wèn)題

問(wèn)：這個(gè)問(wèn)題的嚴(yán)重度是多少?

答：官方CVSS打分為3.8，這個(gè)問(wèn)題被分類(lèi)為低嚴(yán)重性（LOW SEVERITY）。

問(wèn)：我如何知道我是否受到影響？

答：如果您在中國(guó)使用的是Cybellum的QCOW air-gapped發(fā)行版，2.15.5-2.27版本，您會(huì)受到影響。否則，您就不受影響。

問(wèn)：如果我的版本不受影響，是否需要采取任何行動(dòng)?

答：您不需要采取任何行動(dòng)。

問(wèn)：如何解決這個(gè)問(wèn)題?

答：升級(jí)到2.28或更高版本?；蛘哒?qǐng)聯(lián)系support@cybellum.com。

問(wèn)：這個(gè)問(wèn)題是否已經(jīng)有被潛在攻擊者利用了嗎?

答：據(jù)我們所知，沒(méi)有。在2023年7月至8月期間，我們已向所有受影響客戶發(fā)布并部署了一個(gè)修復(fù)補(bǔ) 丁。該問(wèn)題的細(xì)節(jié)于2024年2月18日公布。

問(wèn)：這個(gè)問(wèn)題會(huì)影響Cybellum產(chǎn)品安全平臺(tái)產(chǎn)生的掃描評(píng)估結(jié)果或報(bào)告嗎?

答：不會(huì)，該問(wèn)題僅限于維護(hù)服務(wù)器，不影響產(chǎn)品安全平臺(tái)自身功能。

問(wèn)：這個(gè)問(wèn)題是否會(huì)影響用戶的隱私信息?

答：不，這個(gè)問(wèn)題僅限于維護(hù)服務(wù)器，不包括私有信息。

問(wèn)：這個(gè)問(wèn)題是否起到了“后門(mén)”的作用?

答：不，它涉及一個(gè)私有加密密鑰，被錯(cuò)誤地部署在Cybellum的QCOW鏡像中。

問(wèn)：如何防止此類(lèi)問(wèn)題再次發(fā)生？

答：我們通過(guò)持續(xù)改進(jìn)的安全開(kāi)發(fā)生命周期（SDLC）流程、全面的滲透測(cè)試、嚴(yán)格的代碼審查和采用 領(lǐng)先的SecDevOps實(shí)踐，不斷增強(qiáng)我們的安全協(xié)議。

問(wèn)：如果我有其他問(wèn)題怎么辦？

答：請(qǐng)通過(guò)security@cybellum.com聯(lián)系我們尋求幫助。

據(jù)了解，Cybellum產(chǎn)品安全平臺(tái)是汽車(chē)固件安全檢測(cè)與管理使用最為廣泛的產(chǎn)品之一，該平臺(tái)旨在協(xié)助團(tuán)隊(duì)在開(kāi)發(fā)全生命周期的每個(gè)階段，從概念設(shè)計(jì)到開(kāi)發(fā)再到后期生產(chǎn)，都可以識(shí)別漏洞。

包括BMW、奧迪、日產(chǎn)、長(zhǎng)城、捷豹路虎、合眾汽車(chē)等主機(jī)廠；電裝、哈曼、維寧爾、弗吉亞、Mobileye等供應(yīng)商；中汽中心、中國(guó)汽研、賽迪、賽寶等檢測(cè)機(jī)構(gòu)均是該安全平臺(tái)的用戶，這也是此次漏洞披露引發(fā)大規(guī)模關(guān)注的重要原因。而Cybellum關(guān)于漏洞修復(fù)及影響程度的反饋結(jié)果著實(shí)為平臺(tái)用戶打了一針定心劑。

02強(qiáng)標(biāo)發(fā)布時(shí)間敲定，全球邁進(jìn)強(qiáng)監(jiān)管時(shí)代

隨著智能網(wǎng)聯(lián)汽車(chē)帶來(lái)更大便捷性的同時(shí)，其面對(duì)的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)日益增加。據(jù)Upstream Security發(fā)布的《2024全球汽車(chē)網(wǎng)絡(luò)安全報(bào)告》顯示，2023年，潛在影響數(shù)以千計(jì)至數(shù)百萬(wàn)輛移動(dòng)資產(chǎn)的高規(guī)模和大規(guī)模事件的數(shù)量比2022年增加了2.5倍，其中95%的攻擊是遠(yuǎn)程執(zhí)行的，且64%的網(wǎng)絡(luò)攻擊是由黑客執(zhí)行。

“汽車(chē)網(wǎng)絡(luò)安全正處于一個(gè)拐點(diǎn)。網(wǎng)絡(luò)事件在復(fù)雜性和影響力上顯著增長(zhǎng)，威脅著安全和敏感數(shù)據(jù)，并帶來(lái)了運(yùn)營(yíng)上的重大影響。威脅者的動(dòng)機(jī)正在轉(zhuǎn)向?qū)B接車(chē)輛和移動(dòng)資產(chǎn)的高規(guī)模和大規(guī)模影響。” Upstream Security首席執(zhí)行官兼聯(lián)合創(chuàng)始人Yoav Levy表示。

除了來(lái)自外部的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)對(duì)車(chē)主隱私、車(chē)企聲譽(yù)造成的影響，政府層面的監(jiān)管也是產(chǎn)業(yè)鏈上下游高度關(guān)注汽車(chē)網(wǎng)絡(luò)安全威脅的重要驅(qū)動(dòng)因素。

自2022年7月起，根據(jù)歐盟的要求，所有新車(chē)型需進(jìn)行R155和R156法規(guī)所要求的型式認(rèn)證，才能申請(qǐng)整車(chē)型式認(rèn)證（WVTA）；但從2024年7月起，所有新車(chē)都必須滿足這兩項(xiàng)法規(guī)的要求，才能上市銷(xiāo)售。

值得一提的是，由LG和Cybellum合作設(shè)計(jì)推出的汽車(chē)網(wǎng)絡(luò)安全管理系統(tǒng)（CSMS）Cockpit平臺(tái)，能夠監(jiān)視并維護(hù)車(chē)輛網(wǎng)絡(luò)安全，簡(jiǎn)化OEM的網(wǎng)絡(luò)安全保障和事件響應(yīng)任務(wù)，確保車(chē)輛數(shù)字安全且符合不斷發(fā)展的網(wǎng)絡(luò)安全法規(guī)。

目前，小鵬、理想、極氪、上汽、比亞迪等國(guó)內(nèi)車(chē)企均陸續(xù)獲得了R155、R156及VTA認(rèn)證，邁出了搶占54個(gè)海外市場(chǎng)的第一步——出海合規(guī)。

談思汽車(chē)整理制表

與此同時(shí)，對(duì)標(biāo)R155和R156，國(guó)內(nèi)強(qiáng)標(biāo)《汽車(chē)整車(chē)信息安全技術(shù)要求》和《汽車(chē)軟件升級(jí)通用技術(shù)要求》也推出在即。據(jù)業(yè)內(nèi)人士透露，兩項(xiàng)強(qiáng)標(biāo)將于2025年1月發(fā)布，并擬于2026年1月正式實(shí)施。

智能汽車(chē)的落地，首先必須解決網(wǎng)絡(luò)數(shù)據(jù)安全難題，隨著強(qiáng)標(biāo)的正式落地，如何卸除懸在頭頂?shù)倪_(dá)摩克里斯之劍，這一車(chē)企心心念念的痛點(diǎn)將迎來(lái)更明晰的解題方向，中國(guó)汽車(chē)網(wǎng)絡(luò)數(shù)據(jù)安全行業(yè)的強(qiáng)監(jiān)管也將邁入常態(tài)化，屆時(shí)，市場(chǎng)反饋及用戶驅(qū)動(dòng)將逐步成為智能汽車(chē)的新引爆點(diǎn)！

談思AutoSec作為頗具影響力的汽車(chē)網(wǎng)絡(luò)安全產(chǎn)業(yè)標(biāo)桿會(huì)議，將持續(xù)攜手業(yè)內(nèi)權(quán)威大咖，深研汽車(chē)安全產(chǎn)業(yè)，為行業(yè)源源不斷地呈現(xiàn)最新洞見(jiàn)和前沿技術(shù)實(shí)踐，同時(shí)賦能供需對(duì)接及產(chǎn)業(yè)創(chuàng)新，引領(lǐng)智能網(wǎng)聯(lián)汽車(chē)安全生態(tài)圈發(fā)展！

審核編輯 黃宇