CVE-2023-6248: Unpatched Syrus4 Vulnerability Threatens Thousands of Vehicles
2023/12/09 SecurityOnline — 49 カ国の 119,000 台以上の車両に搭載されている、Syrus4 IoT ゲートウェイに影響を及ぼす深刻な脆弱性だが、数カ月間パッチが適用されない状況が続いており、数百万人のドライバーがハッキングの危険にさらされていることが判明した。この脆弱性 CVE-2023-6248 の悪用に成功した攻撃者は、車両群を遠隔操作することが可能となり、広範囲に及ぶ混乱や事故が引き起こされる可能性も生じるという。
この問題の核心は、Digital Communications Technologies (DCT) が開発した Syrus4 IoT テレマティクス・ゲートウェイ (バージョン23.43.2) の欠陥に起因するものだ。
Xebia の Yashin Mehaboobe により発見された脆弱性 CVE-2023-6248 (CVSS:10.0) は、個々の車両を標的とする典型的なエクスプロイトとは異なり、車両全体を管理するソフトウェアの、攻撃者による操作を可能にするものだ。さらに言うと、バックエンドのインフラを侵害し、同時に数千台の車両に影響を与える可能性すらあるという。
この脆弱性の悪用に成功した攻撃者は、Syrus4 IoT ゲートウェイ・ソフトウェアへの不正アクセスを可能にし、膨大な数の車両を管理するコマンドの制御を可能にするという。攻撃者が用いるのは、IP アドレスと簡単な Python スクリプトだけであるが、ライブロケーション/エンジン診断/スピーカー/エアバッグを制御し、侵害したデバイス上で任意のコード実行も可能にする。
この脆弱性は、MQTT サーバー機能の重大な問題に分類され、不適切な認証の脆弱性につながるものだ。安全が確保されていない MQTT サーバが、リモートの未認証の攻撃者の侵入口となる。
Syrus4 において、最も懸念される機能は、リモート操作で車両のシャットダウンが可能なことだ。検索したところ、米国と中南米においては、4000台以上の車両がリアルタイムでサーバに接続されていることが判明した。この脆弱性の重大性にもかかわらず、DCT の対応は著しく遅く、サイバー・セキュリティの脅威に対処する業界リーダーの心構えに懸念を抱かせている。
パッチを待つ間にも、自分でできる対策はある:
- 車両管理会社に連絡して、セキュリティ対策について問い合わせる。
- リモート車両シャットダウンなどの、Syrus4 システムに依存する機能の使用を避ける。
- この脆弱性に関する、最新の動向を常に把握する。
自動車業界は、サイバー・セキュリティに真剣に取り組む必要がある。何百万人ものドライバーが車両をハッキングされる危険に直面し、その結果が壊滅的なものになる可能性もある。顧客の安全を守るために、この脆弱性を DCT が修正し、直ちに行動を起こすことを強く求める。
この分野のシステムは、コネクテッドカーの基盤であり、そこが攻撃されると大変な混乱を生じるはずだと思います。今年の初めの記事ですが、2023/01/04 の「Mercedes/BMW/日本大手などに API 欠陥:Sam Curry が 20社の深刻な状況を指摘」や、2023/02/01 の「コネクテッドカーとレガシー OT の接点:セキュリティを提供する新たな動きとは?」は、なかなか興味深いものでした。ドコモの「IoT Connect Gateway とは」 と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.