（談思汽車訊）2月21日，有媒體報(bào)道稱，國外知名產(chǎn)品安全平臺Cybellum存在高危漏洞，由于該平臺被絕大多數(shù)的OEM、Tire1以及檢測機(jī)構(gòu)廣泛用于固件安全檢測與管理，消息一經(jīng)發(fā)布，即引發(fā)了業(yè)內(nèi)人士關(guān)注。

01知名安全平臺被曝漏洞，官方反應(yīng)迅速

據(jù)報(bào)道，星輿實(shí)驗(yàn)室安全研究員@Delikely與中國汽研安全研究員@Imweekend發(fā)現(xiàn)該平臺存在安全缺陷。

目前，Cybellum已下發(fā)更新修復(fù)了此漏洞。報(bào)道顯示，Cybellum于去年6月到9月已向所有客戶發(fā)布并部署了修復(fù)程序，問題的細(xì)節(jié)也已于今年2月18日對外公開。

對于該漏洞引發(fā)的關(guān)注，談思汽車留意到，Cybellum官方第一時(shí)間在其官網(wǎng)做出了回復(fù)：“星輿實(shí)驗(yàn)室和中國汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心的安全研究人員報(bào)告的問題存在于Cybellum的QCOW air-gapped的維護(hù)服務(wù)器中，該發(fā)行版僅在中國部署，影響了版本 2.15.5 到 2.27。在版本 2.28 中引入并實(shí)施了永久修復(fù)。除此之外，我們還檢查了易受攻擊的系統(tǒng)，沒有發(fā)現(xiàn)任何被利用的證據(jù)。”

下為Cybellum官方回應(yīng)全文：

安全更新：解決 Cybellum 的維護(hù)服務(wù)器問題 （CVE-2023-42419）

2024年2月21日

我們想告知客戶一個(gè)引起我們注意的安全問題，這是我們對透明度和產(chǎn)品持續(xù)安全承諾的一部分。

2023 年 6 月 21 日，星輿實(shí)驗(yàn)室和中國汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心的安全研究人員向 Cybellum的安全團(tuán)隊(duì)報(bào)告了一個(gè)問題，特別是在 Cybellum 軟件的某個(gè)發(fā)行版中。

這個(gè)問題是在Cybellum的QCOW air-gapped分布的維護(hù)服務(wù)器中發(fā)現(xiàn)的，專門在中國部署，影響版本 為2.15.5到2.27。

它不會影響較舊或較新的版本，包括 Cybellum 1.x。

這個(gè)問題源于Cybellum的QCOW發(fā)行版中的一個(gè)私有加密密鑰，并且很快就通過應(yīng)用于受影響客戶系統(tǒng)的熱補(bǔ)丁進(jìn)行了解決。

在2.28版中引入并實(shí)現(xiàn)了永久性修復(fù)。除此之外，我們還檢查了易受攻擊的系統(tǒng)，沒有發(fā)現(xiàn)被利用的證據(jù)。

要利用這個(gè)問題，攻擊者需要滿足兩個(gè)條件:

訪問QCOW air-gapped分布的維護(hù)服務(wù)器（專門部署在中國）。

獲取管理員接入密鑰。

利用這個(gè)問題的可能性非常低，因?yàn)樗枰疃染W(wǎng)絡(luò)滲透并且擁有管理員密鑰。需要強(qiáng)調(diào)的是，這個(gè)問題不會影響:

Cybellum 1.x 版本

Cybellum 2.0到2.15.4版本

Cybellum 2.28及以上版本

此外，在中國以外發(fā)行的版本不受影響。

我們感謝星輿實(shí)驗(yàn)室和中國汽研網(wǎng)絡(luò)與數(shù)據(jù)安全中心負(fù)責(zé)任地披露了這個(gè)問題。在Cybellum，我們非常認(rèn)真地對待安全問題，并致力于保持最高的安全標(biāo)準(zhǔn)。我們感謝社區(qū)的警惕和支持幫助我們改進(jìn)我們的產(chǎn)品。這樣的合作努力對我們提供安全可靠的軟件的持續(xù)使命來說是非常寶貴的。

常見問題

問：這個(gè)問題的嚴(yán)重度是多少?

答：官方CVSS打分為3.8，這個(gè)問題被分類為低嚴(yán)重性（LOW SEVERITY）。

問：我如何知道我是否受到影響？

答：如果您在中國使用的是Cybellum的QCOW air-gapped發(fā)行版，2.15.5-2.27版本，您會受到影響。否則，您就不受影響。

問：如果我的版本不受影響，是否需要采取任何行動(dòng)?

答：您不需要采取任何行動(dòng)。

問：如何解決這個(gè)問題?

答：升級到2.28或更高版本。或者請聯(lián)系support@cybellum.com。

問：這個(gè)問題是否已經(jīng)有被潛在攻擊者利用了嗎?

答：據(jù)我們所知，沒有。在2023年7月至8月期間，我們已向所有受影響客戶發(fā)布并部署了一個(gè)修復(fù)補(bǔ) 丁。該問題的細(xì)節(jié)于2024年2月18日公布。

問：這個(gè)問題會影響Cybellum產(chǎn)品安全平臺產(chǎn)生的掃描評估結(jié)果或報(bào)告嗎?

答：不會，該問題僅限于維護(hù)服務(wù)器，不影響產(chǎn)品安全平臺自身功能。

問：這個(gè)問題是否會影響用戶的隱私信息?

答：不，這個(gè)問題僅限于維護(hù)服務(wù)器，不包括私有信息。

問：這個(gè)問題是否起到了“后門”的作用?

答：不，它涉及一個(gè)私有加密密鑰，被錯(cuò)誤地部署在Cybellum的QCOW鏡像中。

問：如何防止此類問題再次發(fā)生？

答：我們通過持續(xù)改進(jìn)的安全開發(fā)生命周期（SDLC）流程、全面的滲透測試、嚴(yán)格的代碼審查和采用 領(lǐng)先的SecDevOps實(shí)踐，不斷增強(qiáng)我們的安全協(xié)議。

問：如果我有其他問題怎么辦？

答：請通過security@cybellum.com聯(lián)系我們尋求幫助。

據(jù)了解，Cybellum產(chǎn)品安全平臺是汽車固件安全檢測與管理使用最為廣泛的產(chǎn)品之一，該平臺旨在協(xié)助團(tuán)隊(duì)在開發(fā)全生命周期的每個(gè)階段，從概念設(shè)計(jì)到開發(fā)再到后期生產(chǎn)，都可以識別漏洞。

包括BMW、奧迪、日產(chǎn)、長城、捷豹路虎、合眾汽車等主機(jī)廠；電裝、哈曼、維寧爾、弗吉亞、Mobileye等供應(yīng)商；中汽中心、中國汽研、賽迪、賽寶等檢測機(jī)構(gòu)均是該安全平臺的用戶，這也是此次漏洞披露引發(fā)大規(guī)模關(guān)注的重要原因。而Cybellum關(guān)于漏洞修復(fù)及影響程度的反饋結(jié)果著實(shí)為平臺用戶打了一針定心劑。

02強(qiáng)標(biāo)發(fā)布時(shí)間敲定，全球邁進(jìn)強(qiáng)監(jiān)管時(shí)代

隨著智能網(wǎng)聯(lián)汽車帶來更大便捷性的同時(shí)，其面對的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)日益增加。據(jù)Upstream Security發(fā)布的《2024全球汽車網(wǎng)絡(luò)安全報(bào)告》顯示，2023年，潛在影響數(shù)以千計(jì)至數(shù)百萬輛移動(dòng)資產(chǎn)的高規(guī)模和大規(guī)模事件的數(shù)量比2022年增加了2.5倍，其中95%的攻擊是遠(yuǎn)程執(zhí)行的，且64%的網(wǎng)絡(luò)攻擊是由黑客執(zhí)行。

“汽車網(wǎng)絡(luò)安全正處于一個(gè)拐點(diǎn)。網(wǎng)絡(luò)事件在復(fù)雜性和影響力上顯著增長，威脅著安全和敏感數(shù)據(jù)，并帶來了運(yùn)營上的重大影響。威脅者的動(dòng)機(jī)正在轉(zhuǎn)向?qū)B接車輛和移動(dòng)資產(chǎn)的高規(guī)模和大規(guī)模影響?！?Upstream Security首席執(zhí)行官兼聯(lián)合創(chuàng)始人Yoav Levy表示。

除了來自外部的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)對車主隱私、車企聲譽(yù)造成的影響，政府層面的監(jiān)管也是產(chǎn)業(yè)鏈上下游高度關(guān)注汽車網(wǎng)絡(luò)安全威脅的重要驅(qū)動(dòng)因素。

自2022年7月起，根據(jù)歐盟的要求，所有新車型需進(jìn)行R155和R156法規(guī)所要求的型式認(rèn)證，才能申請整車型式認(rèn)證（WVTA）；但從2024年7月起，所有新車都必須滿足這兩項(xiàng)法規(guī)的要求，才能上市銷售。

值得一提的是，由LG和Cybellum合作設(shè)計(jì)推出的汽車網(wǎng)絡(luò)安全管理系統(tǒng)（CSMS）Cockpit平臺，能夠監(jiān)視并維護(hù)車輛網(wǎng)絡(luò)安全，簡化OEM的網(wǎng)絡(luò)安全保障和事件響應(yīng)任務(wù)，確保車輛數(shù)字安全且符合不斷發(fā)展的網(wǎng)絡(luò)安全法規(guī)。

目前，小鵬、理想、極氪、上汽、比亞迪等國內(nèi)車企均陸續(xù)獲得了R155、R156及VTA認(rèn)證，邁出了搶占54個(gè)海外市場的第一步——出海合規(guī)。

談思汽車整理制表

與此同時(shí)，對標(biāo)R155和R156，國內(nèi)強(qiáng)標(biāo)《汽車整車信息安全技術(shù)要求》和《汽車軟件升級通用技術(shù)要求》也推出在即。據(jù)業(yè)內(nèi)人士透露，兩項(xiàng)強(qiáng)標(biāo)將于2025年1月發(fā)布，并擬于2026年1月正式實(shí)施。

智能汽車的落地，首先必須解決網(wǎng)絡(luò)數(shù)據(jù)安全難題，隨著強(qiáng)標(biāo)的正式落地，如何卸除懸在頭頂?shù)倪_(dá)摩克里斯之劍，這一車企心心念念的痛點(diǎn)將迎來更明晰的解題方向，中國汽車網(wǎng)絡(luò)數(shù)據(jù)安全行業(yè)的強(qiáng)監(jiān)管也將邁入常態(tài)化，屆時(shí)，市場反饋及用戶驅(qū)動(dòng)將逐步成為智能汽車的新引爆點(diǎn)！

談思AutoSec作為頗具影響力的汽車網(wǎng)絡(luò)安全產(chǎn)業(yè)標(biāo)桿會議，將持續(xù)攜手業(yè)內(nèi)權(quán)威大咖，深研汽車安全產(chǎn)業(yè)，為行業(yè)源源不斷地呈現(xiàn)最新洞見和前沿技術(shù)實(shí)踐，同時(shí)賦能供需對接及產(chǎn)業(yè)創(chuàng)新，引領(lǐng)智能網(wǎng)聯(lián)汽車安全生態(tài)圈發(fā)展！

審核編輯 黃宇