यह घोषणा हाल ही में सिक्योरिटी एनालिस्ट समिट 2025 में की गई थी, यानी पार्टनर कॉन्ट्रैक्टर के सार्वजनिक एप्लिकेशन में एक शून्य-दिन की भेद्यता, जो टेलीमैटिक्स सिस्टम - कार को नियंत्रित और डेटा एकत्र करने वाले मस्तिष्क - तक अनधिकृत पहुँच का रास्ता खोलती है। वास्तविक हमले की स्थिति में, बदमाश कार को गियर बदलने के लिए मजबूर कर सकते हैं, चलते समय इंजन बंद कर सकते हैं, जिससे चालक और यात्रियों की सुरक्षा को सीधा खतरा हो सकता है।
कैस्परस्की ने गंभीर सुरक्षा भेद्यता का पता लगाया है जो वाहनों की सुरक्षा के लिए खतरा है
कैस्परस्की के अनुसार, सुरक्षा मूल्यांकन दूरस्थ रूप से किया गया था, जिसमें निर्माता और ठेकेदार की सार्वजनिक सेवाओं पर ध्यान केंद्रित किया गया था। विशेषज्ञों ने विकी एप्लिकेशन में इंटरनेट से जुड़े कई एक्सेस पोर्ट और एक SQL इंजेक्शन भेद्यता की खोज की, जिससे उन्हें उपयोगकर्ता डेटा और एन्क्रिप्टेड पासवर्ड निकालने में मदद मिली। इन पासवर्डों का एक हिस्सा डिक्रिप्ट किया गया था, जिससे टेलीमैटिक्स इन्फ्रास्ट्रक्चर की संवेदनशील कॉन्फ़िगरेशन जानकारी वाले इंसिडेंट ट्रैकिंग सिस्टम तक पहुँच प्राप्त हुई, जिसमें सर्वर उपयोगकर्ताओं के हैश किए गए पासवर्ड वाली एक फ़ाइल भी शामिल थी।
कनेक्टेड कार सिस्टम की ओर से, टीम को गलत तरीके से कॉन्फ़िगर किया गया फ़ायरवॉल मिला, जिससे आंतरिक सर्वर उजागर हो गए।
प्राप्त क्रेडेंशियल्स का उपयोग करते हुए, उन्होंने फाइल सिस्टम तक पहुंच बनाई और यहां तक कि टेलीमैटिक्स कंट्रोलर (टीसीयू) को संशोधित फर्मवेयर अपडेट कमांड भेजने में भी सक्षम रहे।
यह क्रिया स्थानीय क्षेत्र नेटवर्क (CAN) तक पहुंच की अनुमति देती है - जो इंजन, ट्रांसमिशन और सेंसर का समन्वय करता है, जिसका अर्थ है कि कई महत्वपूर्ण वाहन कार्यों को नियंत्रित किया जा सकता है।
"ये कमज़ोरियाँ आम गलतियों से पैदा होती हैं, जैसे कमज़ोर पासवर्ड रखना, दो-कारक प्रमाणीकरण का अभाव और संवेदनशील डेटा को एन्क्रिप्ट न करना। आपूर्ति श्रृंखला की सिर्फ़ एक कमज़ोर कड़ी भी पूरी स्मार्ट कार प्रणाली को खतरे में डाल सकती है," कैस्परस्की में आईसीएस सीईआरटी सुरक्षा अनुसंधान और मूल्यांकन प्रमुख आर्टेम ज़िनेंको ने कहा।
कैस्परस्की ने वाहन निर्माताओं से साइबर सुरक्षा नियंत्रण को मजबूत करने का आह्वान किया है, विशेष रूप से तीसरे पक्ष के साझेदार बुनियादी ढांचे के साथ, ताकि उपयोगकर्ता सुरक्षा सुनिश्चित हो सके और कनेक्टेड कार प्रौद्योगिकी में विश्वास बनाए रखा जा सके।
ऑटोमोटिव क्षेत्र में ठेकेदारों और प्रौद्योगिकी साझेदारों के लिए कैस्परस्की की सिफारिशें:
- वीपीएन के माध्यम से वेब सेवाओं तक इंटरनेट पहुंच को प्रतिबंधित करना, कॉर्पोरेट इंट्रानेट से सेवाओं को अलग करना
- अलग वेब सेवाएँ, ताकि वे कॉर्पोरेट इंट्रानेट से संबंधित न हों
- सख्त पासवर्ड नीति लागू करें
- दो-कारक प्रमाणीकरण (2FA) सक्षम करें
- संवेदनशील डेटा एन्क्रिप्ट करें
- वास्तविक समय में घटनाओं की निगरानी और पता लगाने के लिए लॉगिंग सिस्टम को SIEM प्लेटफ़ॉर्म के साथ एकीकृत करें। (SIEM - सुरक्षा सूचना और घटना प्रबंधन एक सुरक्षा सूचना और घटना प्रबंधन प्रणाली है जो असामान्य व्यवहार या साइबर हमलों का शीघ्र पता लगाने में मदद करती है)
कार निर्माताओं के लिए, कैस्परस्की ने वाहन के नेटवर्क से टेलीमैटिक्स प्लेटफॉर्म (वाहन डेटा एकत्र करने और संसाधित करने वाली प्रणाली) तक पहुंच को प्रतिबंधित करने, केवल श्वेतसूचीबद्ध नेटवर्क कनेक्शन की अनुमति देने, एसएसएच पासवर्ड लॉगिन को अक्षम करने, न्यूनतम आवश्यक अनुमतियों के साथ सेवाओं का संचालन करने, टीसीयू (वाहन पर टेलीमैटिक्स नियंत्रण इकाई) को भेजे गए नियंत्रण आदेशों की प्रामाणिकता सुनिश्चित करने और एसआईईएम प्लेटफॉर्म को एकीकृत करने की सिफारिश की है।
स्रोत: https://nld.com.vn/phat-hien-lo-hong-zero-day-de-doa-an-toan-he-thong-o-to-ket-noi-toan-cau-196251113092524751.htm
![[फोटो] महासचिव टो लाम ने लॉन्ग थान अंतर्राष्ट्रीय हवाई अड्डा परियोजना का दौरा किया](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/13/1763008564398_vna-potal-tong-bi-thu-to-lam-tham-du-an-cang-hang-khong-quoc-te-long-thanh-8404600-1261-jpg.webp)
![[फोटो] तूफ़ान और बाढ़ के बाद दा नांग के पहाड़ों और जंगलों के "निशान"](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/13/1762996564834_sl8-jpg.webp)
![डोंग नाई ओसीओपी संक्रमण: [अनुच्छेद 3] पर्यटन को ओसीओपी उत्पाद उपभोग से जोड़ना](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/11/10/1762739199309_1324-2740-7_n-162543_981.jpeg)
टिप्पणी (0)