জিরো-ডে দুর্বলতা আবিষ্কৃত হওয়ায় বিশ্বব্যাপী সংযুক্ত গাড়ি সিস্টেমের নিরাপত্তা হুমকির মুখে পড়েছে

(এনএলডিও) - ক্যাসপারস্কি একটি গুরুতর নিরাপত্তা দুর্বলতা আবিষ্কারের ঘোষণা দিয়েছে যা হ্যাকারদের দূরবর্তীভাবে একটি প্রস্তুতকারকের সমস্ত গাড়ির নিয়ন্ত্রণ নিতে সাহায্য করতে পারে।

Người Lao Động•13/11/2025

এই ঘোষণাটি সবেমাত্র সিকিউরিটি অ্যানালিস্ট সামিট ২০২৫ সম্মেলনে করা হয়েছে, অর্থাৎ, অংশীদার ঠিকাদারের পাবলিক অ্যাপ্লিকেশনে একটি শূন্য-দিনের দুর্বলতা, টেলিমেটিক্স সিস্টেমে অননুমোদিত অ্যাক্সেসের পথ খুলে দেয় - মস্তিষ্ক যা গাড়ি থেকে ডেটা নিয়ন্ত্রণ এবং সংগ্রহ করে। একটি বাস্তব আক্রমণের পরিস্থিতিতে, খারাপ লোকেরা গাড়িটিকে গিয়ার পরিবর্তন করতে, চলার সময় ইঞ্জিন বন্ধ করতে বাধ্য করতে পারে, যা সরাসরি চালক এবং যাত্রীদের নিরাপত্তার জন্য হুমকিস্বরূপ।

Phát hiện lỗ hổng zero-day đe dọa an toàn hệ thống xe kết nối toàn cầu - Ảnh 1. — ক্যাসপারস্কি গুরুতর নিরাপত্তা দুর্বলতা আবিষ্কার করেছে যা যানবাহনের নিরাপত্তার জন্য হুমকিস্বরূপ

ক্যাসপারস্কির মতে, নিরাপত্তা মূল্যায়ন দূরবর্তীভাবে পরিচালিত হয়েছিল, নির্মাতা এবং ঠিকাদারের পাবলিক পরিষেবার উপর দৃষ্টি নিবদ্ধ করে। বিশেষজ্ঞরা ইন্টারনেটের সংস্পর্শে থাকা বেশ কয়েকটি অ্যাক্সেস পোর্ট এবং উইকি অ্যাপ্লিকেশনে একটি SQL ইনজেকশন দুর্বলতা আবিষ্কার করেছিলেন, যা তাদের ব্যবহারকারীর ডেটা এবং এনক্রিপ্ট করা পাসওয়ার্ড বের করার অনুমতি দিয়েছিল। এই পাসওয়ার্ডগুলির কিছু অংশ ডিক্রিপ্ট করা হয়েছিল, যার ফলে টেলিমেটিক্স অবকাঠামোর সংবেদনশীল কনফিগারেশন তথ্য ধারণকারী ঘটনা ট্র্যাকিং সিস্টেমে অ্যাক্সেস পাওয়া গিয়েছিল, যার মধ্যে সার্ভার ব্যবহারকারীদের হ্যাশ করা পাসওয়ার্ড সম্বলিত একটি ফাইলও ছিল।

সংযুক্ত গাড়ির সিস্টেমের দিক থেকে, দলটি একটি ভুল কনফিগার করা ফায়ারওয়াল আবিষ্কার করেছে, যা অভ্যন্তরীণ সার্ভারগুলিকে প্রকাশ করেছে।

প্রাপ্ত শংসাপত্রগুলি ব্যবহার করে, তারা ফাইল সিস্টেম অ্যাক্সেস করেছিল এবং এমনকি টেলিমেটিক্স কন্ট্রোলার (TCU) তে পরিবর্তিত ফার্মওয়্যার আপডেট কমান্ড পাঠাতে সক্ষম হয়েছিল।

এই ক্রিয়াটি লোকাল এরিয়া নেটওয়ার্ক (CAN)-এ অ্যাক্সেসের অনুমতি দেয় - যা ইঞ্জিন, ট্রান্সমিশন এবং সেন্সরগুলির সমন্বয় সাধন করে, যার অর্থ গাড়ির অনেক গুরুত্বপূর্ণ ফাংশন নিয়ন্ত্রণ করা যায়।

"এই দুর্বলতাগুলি সাধারণ ভুলের কারণে উদ্ভূত হয় যেমন দুর্বল পাসওয়ার্ড বজায় রাখা, দ্বি-ফ্যাক্টর প্রমাণীকরণের অভাব এবং সংবেদনশীল ডেটা এনক্রিপ্ট না করা। সরবরাহ শৃঙ্খলে কেবল একটি দুর্বল লিঙ্ক পুরো স্মার্ট কার সিস্টেমকে ঝুঁকির মধ্যে ফেলতে পারে," ক্যাসপারস্কির ICS CERT সিকিউরিটি রিসার্চ অ্যান্ড অ্যাসেসমেন্টের প্রধান আর্টেম জিনেনকো বলেন।

ব্যবহারকারীর নিরাপত্তা নিশ্চিত করতে এবং সংযুক্ত গাড়ি প্রযুক্তির উপর আস্থা বজায় রাখতে ক্যাসপারস্কি অটোমেকারদের সাইবার নিরাপত্তা নিয়ন্ত্রণ জোরদার করার আহ্বান জানিয়েছে, বিশেষ করে তৃতীয় পক্ষের অংশীদার অবকাঠামোর মাধ্যমে।

মোটরগাড়ি খাতের ঠিকাদার এবং প্রযুক্তি অংশীদারদের প্রতি ক্যাসপারস্কির সুপারিশ:

ভিপিএন এর মাধ্যমে ওয়েব পরিষেবাগুলিতে ইন্টারনেট অ্যাক্সেস সীমাবদ্ধ করুন, কর্পোরেট ইন্ট্রানেট থেকে পরিষেবাগুলি বিচ্ছিন্ন করুন
আলাদা ওয়েব পরিষেবা, যাতে তারা কর্পোরেট ইন্ট্রানেটের সাথে সম্পর্কিত না হয়
একটি কঠোর পাসওয়ার্ড নীতি প্রয়োগ করুন
দ্বি-ধাপে প্রমাণীকরণ (2FA) সক্ষম করুন
সংবেদনশীল ডেটা এনক্রিপ্ট করুন
রিয়েল টাইমে ঘটনাগুলি পর্যবেক্ষণ এবং সনাক্ত করার জন্য লগিং সিস্টেমটিকে SIEM প্ল্যাটফর্মের সাথে একীভূত করুন। (SIEM - সুরক্ষা তথ্য এবং ইভেন্ট ব্যবস্থাপনা হল একটি সুরক্ষা তথ্য এবং ইভেন্ট ব্যবস্থাপনা ব্যবস্থা যা অস্বাভাবিক আচরণ বা সাইবার আক্রমণগুলি প্রাথমিকভাবে সনাক্ত করতে সহায়তা করে)

গাড়ি নির্মাতাদের জন্য, ক্যাসপারস্কি গাড়ির নেটওয়ার্ক থেকে টেলিমেটিক্স প্ল্যাটফর্মে (যা গাড়ির ডেটা সংগ্রহ এবং প্রক্রিয়াকরণ করে এমন সিস্টেম) অ্যাক্সেস সীমাবদ্ধ করার, শুধুমাত্র সাদা তালিকাভুক্ত নেটওয়ার্ক সংযোগের অনুমতি দেওয়ার, SSH পাসওয়ার্ড লগইন অক্ষম করার, ন্যূনতম প্রয়োজনীয় অনুমতি সহ পরিষেবা পরিচালনা করার, TCU (গাড়ির টেলিমেটিক্স নিয়ন্ত্রণ ইউনিট) -এ প্রেরিত নিয়ন্ত্রণ কমান্ডের সত্যতা নিশ্চিত করার এবং একটি SIEM প্ল্যাটফর্ম সংহত করার পরামর্শ দেয়।

সূত্র: https://nld.com.vn/phat-hien-lo-hong-zero-day-de-doa-an-toan-he-thong-o-to-ket-noi-toan-cau-196251113092524751.htm