近日,爲辰安全實驗室監測到部分智能網聯汽車使用的開源項目 busybox 代碼執行漏洞(CVE-2022-30065)。該漏洞影響多數車機娛樂系統 IVI、TBOX、儀表等系統安全,截至發稿,Busybox 官方已發布修複版本。
漏洞背景
Busybox 是一個遵循 GPL 協議、以自由軟件形式發行的應用程序。Busybox 在單一的可執行文件中提供了精簡的 Unix 工具集,可運行于多款 POSIX 環境的操作系統,例如Linux,Hurd,QNX,FreeBSD等等。由于 Busybox 可執行文件的文件比較小,使得它在智能汽車上運用非常廣泛。
該漏洞由于是 Busybox 的 AWK 模塊使用釋放後的内存,并且在 copyvar 函數中處理特制的 AWK 模式時可導緻代碼執行。地址:https://www.busybox.net/
漏洞危害
該漏洞爲高危漏洞,官方 CVSS 評分 7.8,對車端可能造成重大安全風險——
1. 可導緻程序崩潰、權限提升,從而使車輛的業務功能失效,嚴重可導緻車輛停止工作或者喪失控制權,系統崩潰時被執行其他攻擊的風險激增。
2. 可配合其它遠程漏洞,通過非法控車,獲取例如像車輛定位數據、車主身份信息、車輛操作曆史等一系列敏感信息。黑客可利用這些信息來實施身份盜竊、勒索、追蹤等惡意行爲。
3. 配合信息洩露漏洞如用于維持權限,則意味着黑客可以在系統中長期潛伏并繼續進行攻擊活動,而不被發現或清除。黑客可以利用這個漏洞來獲取管理員權限并修改系統配置,或者在受感染的車輛上執行惡意代碼。這可能會對車輛和駕駛員的安全造成嚴重威脅。
影響範圍
Busybox ≤ 1.35-X 的車輛将受到安全威脅。
據評估統計,超過 1.58 億的智能終端上使用了 Busybox 。這其中,有超過 1 億智能終端上的 Busybox 版本低于 1.35,智能網聯汽車系統中較普遍使用 Busybox 組件。
修複方式
鑒于受影響車輛較多,爲辰安全實驗室建議盡快将組件升級至官方最新版本。
漏洞驗證
爲辰信安支持對當前漏洞進行檢測驗證。
