近日,國內某安全實驗室監測到部分智能網聯汽車使用的開源項目busybox代碼執行漏洞(cve-2022-30065)。該漏洞影響多數車機娛樂系統ivi、tbox、儀錶等系統安全,截至發稿,busybox官方已發佈修復版本。
busybox是一個遵循gpl協議、以自由軟件形式發行的應用程序。busybox在單一的可執行文件中提供了精簡的unix工具集,可運行於多款posix環境的操作系統,例如linux,hurd,qnx,freebsd等等。由於busybox可執行文件的文件比較小,使得它在智能汽車上運用非常廣泛。該漏洞由於是busybox的awk模塊使用釋放後的內存,並且在copyvar函數中處理特製的awk模式時可導致代碼執行。
該漏洞為高危漏洞,官方cvss評分7.8,對車端可能造成重大安全風險——
可導致程序崩潰、權限提升,從而使車輛的業務功能失效,嚴重可導致車輛停止工作或者喪失控制權,系統崩潰時被執行其他攻擊的風險激增。
可配合其它遠程漏洞,通過非法控車,獲取例如像車輛定位數據、車主身份信息、車輛操作歷史等一系列敏感信息。黑客可利用這些信息來實施身份盜竊、勒索、追蹤等惡意行為。
配合信息泄露漏洞如用於維持權限,則意味着黑客可以在系統中長期潛伏並繼續進行攻擊活動,而不被發現或清除。黑客可以利用這個漏洞來獲取管理員權限並修改系統配置,或者在受感染的車輛上執行惡意代碼。這可能會對車輛和駕駛員的安全造成嚴重威脅。
busybox ≤ 1.35-x的車輛將受到安全威脅
據評估統計,超過1.58億的智能終端上使用了busybox 。這其中,有超過1億智能終端上的busybox 版本低於1.35,智能網聯汽車系統中較普遍使用busybox組件。
鑒於受影響車輛較多,專家建議儘快將組件升級至官方最新版本。
