レクサスなど複数トヨタ車DCUに「BlueBorne」脆弱性
具体的には、「DCU」においてセキュアブートを採用しておらず、CANメッセージの制御に関わるファームウェアの書き換えも可能であるなど、ローカル環境に複数の問題が存在するという。
脆弱性によって「DCU」の権限が取得されると、攻撃者の「Wi-Fi」に接続できるよう設定が変更できると指摘。「Wi-Fi」経由でルートシェルを設置し、任意のCANメッセージを送信できたとしており、「ECU」の診断機能を誤動作させ、車両に予期しない物理的な動作を引き起こすことができると説明している。
両社は協調して対応を進めているとし、Keen Labでは今回の発表を簡易的な内容にとどめ、完全な技術レポートについては、2021年を目処にリリースする予定だという。
脆弱性と複数の問題を組み合わせた攻撃のイメージ(画像:Keen Lab)
(Security NEXT - 2020/03/30 )
ツイート
関連リンク
PR
関連記事
WP向けメールマーケティングプラグインにSQLi脆弱性
HashiCorpのGo言語向けライブラリ「go-getter」に脆弱性
「PAN-OS」脆弱性に対する攻撃が増加 - コマンドで悪用試行を確認可能
Cisco、セキュリティアドバイザリ3件を公開 - 一部でPoCが公開済み
「Chrome 124」が公開 - セキュリティ関連で23件の修正
「Firefox 125.0.1」をリリース、脆弱性15件を修正
「PAN-OS」脆弱性の詳細や悪用コードが公開済み - 攻撃拡大のおそれ
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
Oracle、「Java SE」に関する脆弱性13件を修正
Oracle、四半期定例パッチを公開 - のべ441件の脆弱性に対応