20.05.2021 | В автомобилях Mercedes-Benz обнаружены уязвимости |
После восьмимесячного аудита кода компьютерной системы в автомобилях Mercedes-Benz исследователи безопасности из Tencent Security Keen Lab выявили пять уязвимостей . Четыре из пяти проблем являются критическими и их эксплуатация позволяет удаленно выполнить код. Уязвимости были обнаружены в Mercedes-Benz User Experience (MBUX) — информационно-развлекательной системе, первоначально представленной на автомобилях A-класса в 2018 году, но с тех пор внедренной во всей линейке автомобилей производителя. Уязвимости (CVE-2021-23906, CVE-2021-23907, CVE-2021-23908, CVE-2021-23909 и CVE-2021-23910) позволяют хакерам удаленно управлять некоторыми функциями автомобиля, но без доступа к физическим характеристикам, таким как рулевое управление или тормозная система. Исследователи обнаружили использование устаревшего ядра Linux, подверженное риску определенных атак, уязвимости во встроенном JavaScript-движке браузера и потенциальное воздействие уязвимостей в процессоре Wi-Fi, стеке Bluetooth, функциях USB или включенных сторонних приложения, которые обмениваются данными с удаленными серверами. Анализ главного устройства выявил ряд проблем: уязвимости переполнения кучи, в том числе две, которые могут привести к утечке памяти и выполнению кода; возможность настройки удаленной оболочки с использованием уязвимости в предоставленном браузере; отсутствие SELinux или AppArmor, что позволило использовать уязвимость в ядре Linux для повышения привилегий. После первоначальной компрометации, включающий настройку постоянной web-оболочки с привилегиями суперпользователя, исследователи смогли разблокировать определенные функции автомобиля и отключить противоугонную защиту, внедрить постоянный бэкдор и даже выполнять действия по управлению автомобилем. Эксперты сообщили об обнаруженных уязвимостях Daimler (владеющему Mercedes-Benz) в ноябре 2020 года, и компания начала распространять патчи в конце января 2021 года. |
Проверить безопасность сайта