2023年已经接近尾声，在这一年里各类车联网安全事件频发，作为年底献礼，青骥小伙伴整理了今年各类公开纰漏的重大漏洞或事件29条，供业界参考，也欢迎大家关注由青骥安全小组主导的“车联网安全事件时间轴”。在此新旧交替之际，青骥安全小组祝愿大家“去岁千般皆如愿，今年万事定称心”。

车联网安全事件时间轴2023年共收录29个公开纰漏的重大漏洞或事件。

2023 年安全事件出现了一些新的变化，特征如下。

国内车联网安全事件共发生 5 起，较2022年的2起有所提高，车端漏洞占比增高。

保时捷内燃机版MACAN不满足WP.29安全法规要求将停止在欧洲销售，这使得燃油版保时捷 Macan 成为第一个因网络安全问题而停售的车型。

黑灰产主要集中于勒索、车辆盗窃，此类攻击容易被识别；而 ECU 数据篡改，隐蔽性高不易被发现，“非法篡改电池组数据” 案例中，提供了一种基于大数据的异常检测思路。

1. BMW、劳斯莱斯供应商SSO平台存在任意用户密码重置漏洞

2023年1月3日

BMW、劳斯莱斯供应商SSO(单点登录)平台用于访问内部工具、开发环境等。单点登录平台密码重置存在漏洞，未授权用户能够重置任意用户的密码。使用重置后的密码，能够访问供应商所能够访问的所有功能，如通过VIN码获取销售文档(其中包含客户的隐私信息)。对OSS平台模糊测试中发现WADL文件(xpita.bmwgroup.com/rest/api/ap…)，其中的存在大量敏感接口。如使用接口 /reset/api/users/example* 可以根据模糊用户名获取用户信息；/rest/api/chains/accounts/:user_id/totp接口用于请求基于时间的一次性密码，此TOTP密码用密码重置中，类似于双因子认证中的验证码。测试发现使用通配符在用户查询接口获取到用户信息后，进入密码恢复页面重置用户密码，并从/rest/api/chains/accounts/:user_id/totp获取到验证码，提交后就能实现对指定用户的密码重置。

2. 利用错误配置的奔驰SSO实现远程代码执行、访问数百个内部工具

2023年1月3日

奔驰 SSO 平台使用一个集中式的LDAP系统管理用户访问授权。在对大量网站模糊测试后，发现车辆维修内部工具获取网站 umas.mercedes-benz.com 开放了用户注册。注册信息写入到的数据库与核心员工LDAP系统是同一个。使用注册的信息进入SSO平台，成功登录了git.mercedes-benz.com。访问发现，在内部 Github 中有大量项目的源码和文档， 芯片采购平台比如用户用来远程控制他们汽车的应用 Mercedes Me Connect。内部文档中对开发远控应用进行了详细的说明。安全研究员在奔驰要求进一步说明影响中，发现使用注册的信息能够获取敏感信息、通过暴露的spring boot控制台(actuators)以及数十个员工使用的敏感内部应用程序实现远程代码执行。其中一个应用是 Mercedes-Benz Mattermost(基于Slack)，能够加入任意频道、包括安全频道，以及能够伪装成内部员工想被攻击者提出必要的问题，用来提升在奔驰网络中的权限。 3. 法拉利账户完全接管和任意用户创建，允许攻击者访问、修改、删除所有客户信息以及访问管理CMS功能以管理法拉利网站

2023年1月3日 研究人员在对大量的目标测试后，发现 api.ferrari.com为法拉利系统提供了用户侧和内部API接口。分析了大量有关经销商的子域名的JAVASCRIPT代码后，发现经销商的测试网站单一登录实现存在问题，没有限制对底层应用程序的访问。在JS代码中暴露了 api.ferrari.com/cms/dws/back-o… 的 apiKey。使用此api可以访问 /cms/dws/back-office/auth/bo-users 获取到了所有注册用户，还能发送POST请求为自己添加一个超级管理员用户。访问 /cms/dws/back-office/rest-connector-models 返回了 API 列表以及明文的认证头。使用这些信息能够访问用户的个人信息，如[ian@ian.sh](http://fcd.services.ferrari.com/core/api/v1/Users?email='onclick='void(0)'>fcd.services.ferrari.com/core/…，向/core/api/v1/Users/:id/Roles 发送 POST 请求修改用户角色，将自己设置为超级用户或成为法拉利车主。此外还能利用返回的信息，注册新的rest connectors 以及修改现有的。

4. SPIREON系统存在 SQL 注入和正则认证绕过，允许攻击者访问、追踪、发送任意命令到1500万个远程信息管理系统上

2023年1月3日

车辆智能公司 Spireon 的后装 GPS 追踪器能够追踪和管理车辆，接收任意指令，如锁定启动器让车辆无法启动。Spireon系统存在 SQL 注入和正则认证绕过，允许攻击者访问、追踪、发送任意命令到1500万个设备上。SQL注入，绕过登录：后台系统admin.spireon.com 登录页面存在SQL注入漏洞，使用SQL注入载荷 admin' # 或administrator' # 登录，301重定向到/dashboaed 页面。管理员能够访问所有Spireon设备，获取实时定位、给它们发送任意命令，还可以通过固件更新修改配置、植入后门、执行任意命令等。这些设备广泛使用在拖拉机、高尔夫球车、警车和救护车中，其中一部分只能获取实时定位，还有一些能够禁用启动器。使用正则绕过认证 测试发现URL(如/anything-admin-anything)中包含admin和dashboard会返回403禁止访问，如果URL(如/anything-anything)中不包返回404 Not Found。通过枚举-

• 时间
• 2023年
• 安全
• 联网
• 概览