本月国家车联网信息安全漏洞共享平台(CNVD-IoV)收集整理涉及车联网的信息安全漏洞的基本情况如下:共收集和整理车辆网相关漏洞92个,其中高危漏洞82个,中危漏洞10个。上述漏洞涉及行业主管部门、汽车企业、车联网相关资讯以及客货运行业等,均可对车联网用户数据、车辆数据的安全造成一定的危害。

本月漏洞信息

根据漏洞危害等级,本月收集的车联网安全相关漏洞共92个,其中高危漏洞82个,中危漏洞10个。

根据漏洞影响对象的类型,漏洞可分为Web漏洞、APP漏洞、车载系统漏洞等,本月车联网漏洞包括90个Web漏洞和2个APP漏洞。

根据车联网行业分布的特征,将车联网涉及的行业分为行业主管部门、车企、车联网服务、汽车零配件厂商、客货运行业、车联网金融、车联网资讯等。涉及不同行业的漏洞分布如图1所示。目前漏洞数最多的是行业主管部门的漏洞,共占有29%。车企行业的漏洞紧随其后,占全部漏洞的21%。

图1 本月漏洞涉及行业分布

根据漏洞类型,对车联网行业漏洞进行统计,如图2所示。

图2 本月漏洞类型分布

重要漏洞信息

根据漏洞造成的直接危害,我们重点关注车企行业的车联网漏洞。本月漏洞涉及9个国内知名车企厂家,在9月份的销量和占总销量的53%,其中漏洞类型包含弱口令、weblogic反序列化、SQL注入漏洞、struts2以及远程命令执行等,均为OWASP TOP10漏洞,具体漏洞分布情况如图3所示。

图3 本月涉及车企漏洞类型分布

如上图所示,弱口令为本月车企最多的漏洞,该漏洞简单直接,可以直接登陆后台,接管网站,其原因大多数是相关工作人员的疏忽懈怠。其次是SQL注入漏洞,攻击者可以利用SQL注入漏洞,通过构造恶意请求执行数据库命令,获取数据库敏感信息。这两个漏洞是web应用中普遍存在的,因其容易被发现,利用方法也比较简单,且能造成严重后果。Weblogic是国内应用范围比较广的Java(J2EE)应用服务器,支撑着很多企业的核心业务。Weblogic反序列化漏洞利用Java的反射机制,可以拿到管理员权限,继而控制网站,造成严重后果。

声明:本文来自车联网安全应急中心,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。