Kerentanan sifar hari ditemui mengancam keselamatan sistem kereta bersambung global

Pengumuman ini baru sahaja dibuat pada persidangan Sidang Kemuncak Penganalisis Keselamatan 2025, iaitu, kerentanan sifar hari dalam aplikasi awam kontraktor rakan kongsi, membuka jalan untuk akses tanpa kebenaran kepada sistem telematik - otak yang mengawal dan mengumpul data daripada kereta. Dalam senario serangan sebenar, orang jahat boleh memaksa kereta menukar gear, mematikan enjin semasa bergerak, secara langsung mengancam keselamatan pemandu dan penumpang.

Phát hiện lỗ hổng zero-day đe dọa an toàn hệ thống xe kết nối toàn cầu - Ảnh 1. — Kaspersky menemui kelemahan keselamatan yang serius yang mengancam keselamatan kenderaan

Menurut Kaspersky, penilaian keselamatan dijalankan dari jauh, memfokuskan pada perkhidmatan awam pengilang dan kontraktor. Pakar menemui beberapa port akses yang terdedah kepada Internet dan kelemahan suntikan SQL dalam aplikasi wiki, yang membolehkan mereka mengekstrak data pengguna dan kata laluan yang disulitkan. Sebahagian daripada kata laluan ini telah dinyahsulit, dengan itu mendapat akses kepada sistem penjejakan insiden yang mengandungi maklumat konfigurasi sensitif infrastruktur telematik, termasuk fail yang mengandungi kata laluan cincang pengguna pelayan.

Di bahagian sistem kereta yang disambungkan, pasukan itu menemui tembok api yang salah konfigurasi, mendedahkan pelayan dalaman.

Menggunakan kelayakan yang diperolehi, mereka mengakses sistem fail dan malah dapat menghantar arahan kemas kini perisian tegar yang diubah suai kepada pengawal telematik (TCU).

Tindakan ini membolehkan akses kepada rangkaian kawasan setempat (CAN) – yang menyelaraskan enjin, transmisi dan penderia, bermakna banyak fungsi kenderaan penting boleh dikawal.

"Kerentanan ini berpunca daripada kesilapan biasa seperti mengekalkan kata laluan yang lemah, kekurangan pengesahan dua faktor dan tidak menyulitkan data sensitif. Hanya satu pautan yang lemah dalam rantaian bekalan boleh menjejaskan keseluruhan sistem kereta pintar," kata Artem Zinenko, Ketua Penyelidikan dan Penilaian Keselamatan ICS CERT di Kaspersky.

Kaspersky menyeru pembuat kereta untuk mengukuhkan kawalan keselamatan siber, terutamanya dengan infrastruktur rakan kongsi pihak ketiga, untuk memastikan keselamatan pengguna dan mengekalkan kepercayaan dalam teknologi kereta yang disambungkan.

Cadangan Kaspersky kepada kontraktor dan rakan kongsi teknologi dalam sektor automotif:

Hadkan akses Internet kepada perkhidmatan web melalui VPN, mengasingkan perkhidmatan daripada intranet korporat
Asingkan perkhidmatan web, supaya ia tidak berkaitan dengan intranet korporat
Menguatkuasakan dasar kata laluan yang ketat
Dayakan pengesahan dua faktor (2FA)
Sulitkan data sensitif
Mengintegrasikan sistem pembalakan dengan platform SIEM untuk memantau dan mengesan insiden dalam masa nyata. (SIEM - Maklumat Keselamatan dan Pengurusan Acara ialah maklumat keselamatan dan sistem pengurusan acara yang membantu mengesan tingkah laku yang tidak normal atau serangan siber lebih awal)

Untuk pengeluar kereta, Kaspersky mengesyorkan mengehadkan akses kepada platform telematik (sistem yang mengumpul dan memproses data kenderaan) daripada rangkaian kenderaan, membenarkan hanya sambungan rangkaian yang disenarai putih, melumpuhkan log masuk kata laluan SSH, perkhidmatan operasi dengan kebenaran minimum yang diperlukan, memastikan ketulenan arahan kawalan dihantar ke TCU (unit kawalan telematik pada kenderaan), dan platform menyepadukan SIEM.

Sumber: https://nld.com.vn/phat-hien-lo-hong-zero-day-de-doa-an-toan-he-thong-o-to-ket-noi-toan-cau-196251113092524751.htm