国产成人福利在线视频播放下载,成人无码www免费视频在线看,放荡的美妇在线播放,大地资源网最新更新,国产成人精品日本亚洲网站

車載系統(tǒng)重大安全隱患：卡巴斯基發(fā)現(xiàn)威脅車輛安全的漏洞

　　在2025年安全分析師大會(huì)上，卡巴斯基公布了一項(xiàng)安全審計(jì)結(jié)果，揭露了一個(gè)重大安全漏洞，該漏洞允許未經(jīng)授權(quán)訪問(wèn)某汽車制造商的所有聯(lián)網(wǎng)車輛。

　　通過(guò)利用承包商公開(kāi)可訪問(wèn)應(yīng)用程序中的零日漏洞，攻擊者成功獲取了對(duì)車載信息系統(tǒng)的控制權(quán)，從而危害了駕乘人員的人身安全。例如，攻擊者可以在車輛行駛時(shí)強(qiáng)制換擋或關(guān)閉發(fā)動(dòng)機(jī)。這一發(fā)現(xiàn)揭示了汽車行業(yè)潛在的網(wǎng)絡(luò)安全缺陷，促使業(yè)界呼吁加強(qiáng)安全措施。

　　汽車制造商方面

　　這次安全審計(jì)是遠(yuǎn)程進(jìn)行的，審計(jì)目標(biāo)是制造商的公開(kāi)服務(wù)以及承包商的基礎(chǔ)設(shè)施?？ò退够l(fā)現(xiàn)了一些暴露在外的網(wǎng)絡(luò)服務(wù)。首先，利用Wiki應(yīng)用程序（一個(gè)允許用戶協(xié)作創(chuàng)建、編輯和管理內(nèi)容的網(wǎng)絡(luò)平臺(tái)）中的零日SQL注入漏洞，成功提取出承包商系統(tǒng)的用戶列表及密碼哈希值。其中一些由于密碼策略薄弱而被猜解出來(lái)。通過(guò)此突破口，研究人員進(jìn)一步訪問(wèn)了承包商的問(wèn)題追蹤系統(tǒng)（用于管理項(xiàng)目任務(wù)、缺陷的軟件工具），其中包含汽車制造商遠(yuǎn)程信息處理基礎(chǔ)設(shè)施的敏感配置信息，包括某款車載遠(yuǎn)程信息服務(wù)端的用戶密碼哈希文件。在現(xiàn)代汽車中，車載信息系統(tǒng)能夠?qū)崿F(xiàn)對(duì)聯(lián)網(wǎng)車輛的各種數(shù)據(jù)（例如速度、地理位置等）的收集、傳輸、分析和利用。

　　聯(lián)網(wǎng)車輛方面

　　在聯(lián)網(wǎng)車輛方面，卡巴斯基發(fā)現(xiàn)防火墻配置錯(cuò)誤導(dǎo)致內(nèi)部服務(wù)器暴露。研究人員利用之前獲取的服務(wù)賬戶密碼，訪問(wèn)了服務(wù)器的文件系統(tǒng)，并發(fā)現(xiàn)了另一個(gè)承包商的憑據(jù)，從而獲得了對(duì)車載信息系統(tǒng)基礎(chǔ)設(shè)施的完全控制權(quán)。最令人擔(dān)憂的是，研究人員發(fā)現(xiàn)可通過(guò)固件更新指令，將篡改后的固件上傳至遠(yuǎn)程信息控制單元（TCU）。這使他們得以接入車輛的CAN（控制器局域網(wǎng)）總線——該系統(tǒng)連接發(fā)動(dòng)機(jī)、傳感器等車身部件。隨后，包括發(fā)動(dòng)機(jī)、變速箱等在內(nèi)的各種其他系統(tǒng)也被訪問(wèn)。這可能導(dǎo)致對(duì)一系列關(guān)鍵車輛功能的操縱，從而危及駕駛員和乘客的安全。

　　“這些安全漏洞源于汽車行業(yè)中相當(dāng)普遍的問(wèn)題：公開(kāi)可訪問(wèn)的網(wǎng)絡(luò)服務(wù)、弱密碼、缺乏雙因素認(rèn)證（2FA）以及未加密的敏感數(shù)據(jù)存儲(chǔ)。這次的成功入侵表明，承包商基礎(chǔ)設(shè)施中的單一薄弱環(huán)節(jié)可能引發(fā)連鎖反應(yīng)，最終導(dǎo)致所有聯(lián)網(wǎng)車輛全面淪陷。汽車行業(yè)必須優(yōu)先加強(qiáng)網(wǎng)絡(luò)安全措施，特別是針對(duì)第三方系統(tǒng)，以保護(hù)駕駛員安全并維護(hù)公眾對(duì)聯(lián)網(wǎng)汽車技術(shù)的信任，”卡巴斯基ICS CERT漏洞研究和評(píng)估負(fù)責(zé)人Artem Zinenko評(píng)論說(shuō)。

　　卡巴斯基建議承包商通過(guò)以下措施加強(qiáng)網(wǎng)絡(luò)安全防護(hù)：通過(guò)VPN限制Web服務(wù)的互聯(lián)網(wǎng)訪問(wèn)，將服務(wù)系統(tǒng)與企業(yè)內(nèi)部網(wǎng)絡(luò)隔離，實(shí)施嚴(yán)格的密碼策略，部署雙因素認(rèn)證（2FA），對(duì)敏感數(shù)據(jù)進(jìn)行加密，并將日志系統(tǒng)與SIEM平臺(tái)集成以實(shí)現(xiàn)實(shí)時(shí)監(jiān)控。

　　針對(duì)汽車制造商，卡巴斯基建議應(yīng)限制從車輛網(wǎng)段對(duì)遠(yuǎn)程信息平臺(tái)的訪問(wèn)，采用網(wǎng)絡(luò)通信白名單機(jī)制，禁用SSH密碼認(rèn)證方式，以最小權(quán)限運(yùn)行服務(wù)系統(tǒng)，并在遠(yuǎn)程信息控制單元（TCU）中確保指令真實(shí)性，同時(shí)實(shí)現(xiàn)與SIEM系統(tǒng)的全面集成。

　　關(guān)于卡巴斯基ICS CERT

　　卡巴斯基 ICS CERT (工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)團(tuán)隊(duì)) 主要致力于識(shí)別和應(yīng)對(duì)針對(duì)工業(yè)自動(dòng)化系統(tǒng)和工業(yè)物聯(lián)網(wǎng) (IIoT) 的潛在和現(xiàn)有威脅。該團(tuán)隊(duì)已成功發(fā)現(xiàn)并協(xié)助修復(fù)了數(shù)百個(gè)廣泛使用的工控系統(tǒng)產(chǎn)品與組件中的漏洞，顯著提升了這些關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)抵御復(fù)雜網(wǎng)絡(luò)攻擊的安全性與韌性。

　　關(guān)于卡巴斯基

　　卡巴斯基是一家成立于1997年的全球網(wǎng)絡(luò)安全和數(shù)字隱私公司。迄今為止，卡巴斯基已保護(hù)超過(guò)十億臺(tái)設(shè)備免受新興網(wǎng)絡(luò)威脅和針對(duì)性攻擊。卡巴斯基不斷將深度威脅情報(bào)和安全技術(shù)轉(zhuǎn)化成創(chuàng)新的安全解決方案和服務(wù)，為全球的個(gè)人用戶、企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施和政府提供安全保護(hù)。該公司全面的安全產(chǎn)品組合包括領(lǐng)先的個(gè)人設(shè)備數(shù)字生活保護(hù)、面向企業(yè)的專業(yè)安全產(chǎn)品和服務(wù)，以及用于對(duì)抗復(fù)雜且不斷演變的數(shù)字威脅的網(wǎng)絡(luò)免疫解決方案。我們?yōu)閿?shù)百萬(wàn)個(gè)人用戶及近20萬(wàn)企業(yè)客戶守護(hù)他們最珍視的數(shù)字資產(chǎn)。要了解更多詳情，請(qǐng)?jiān)L問(wèn)www.kaspersky.com。