网易首页 > 网易号 > 正文 申请入驻

Cybellum检测平台被曝漏洞,官方回复!全球汽车安全监管持续升级

0
分享至

(谈思汽车讯)2月21日,有媒体报道称,国外知名产品安全平台Cybellum存在高危漏洞,由于该平台被绝大多数的OEM、Tire1以及检测机构广泛用于固件安全检测与管理,消息一经发布,即引发了业内人士关注。

01 知名安全平台被曝漏洞,官方反应迅速

据报道,星舆实验室安全研究员@Delikely与中国汽研安全研究员@Imweekend发现该平台存在安全缺陷

目前,Cybellum已下发更新修复了此漏洞。报道显示,Cybellum于去年6月到9月已向所有客户发布并部署了修复程序,问题的细节也已于今年2月18日对外公开。

对于该漏洞引发的关注,谈思汽车留意到,Cybellum官方第一时间在其官网做出了回复:“星舆实验室和中国汽研网络与数据安全中心的安全研究人员报告的问题存在于Cybellum的QCOW air-gapped的维护服务器中,该发行版仅在中国部署,影响了版本 2.15.5 到 2.27。在版本 2.28 中引入并实施了永久修复。除此之外,我们还检查了易受攻击的系统,没有发现任何被利用的证据。”

下为Cybellum官方回应全文:

安全更新:解决 Cybellum 的维护服务器问题 (CVE-2023-42419)

2024年2月21日

我们想告知客户一个引起我们注意的安全问题,这是我们对透明度和产品持续安全承诺的一部分。

2023 年 6 月 21 日,星舆实验室和中国汽研网络与数据安全中心的安全研究人员向 Cybellum的安全团队报告了一个问题,特别是在 Cybellum 软件的某个发行版中。

这个问题是在Cybellum的QCOW air-gapped分布的维护服务器中发现的,专门在中国部署,影响版本 为2.15.5到2.27。

它不会影响较旧或较新的版本,包括 Cybellum 1.x。

这个问题源于Cybellum的QCOW发行版中的一个私有加密密钥,并且很快就通过应用于受影响客户系统的热补丁进行了解决。

在2.28版中引入并实现了永久性修复。除此之外,我们还检查了易受攻击的系统,没有发现被利用的证据。

要利用这个问题,攻击者需要满足两个条件:

  • 访问QCOW air-gapped分布的维护服务器(专门部署在中国)。
  • 获取管理员接入密钥。

利用这个问题的可能性非常低,因为它需要深度网络渗透并且拥有管理员密钥。需要强调的是,这个问题不会影响:

  • Cybellum 1.x 版本
  • Cybellum 2.0到2.15.4版本
  • Cybellum 2.28及以上版本

此外,在中国以外发行的版本不受影响。

我们感谢星舆实验室和中国汽研网络与数据安全中心负责任地披露了这个问题。在Cybellum,我们非常认真地对待安全问题,并致力于保持最高的安全标准。我们感谢社区的警惕和支持帮助我们改进我们的产品。这样的合作努力对我们提供安全可靠的软件的持续使命来说是非常宝贵的。

常见问题

问:这个问题的严重度是多少?

答:官方CVSS打分为3.8,这个问题被分类为低严重性(LOW SEVERITY)。

问:我如何知道我是否受到影响?

答:如果您在中国使用的是Cybellum的QCOW air-gapped发行版,2.15.5-2.27版本,您会受到影响。否则,您就不受影响。

问:如果我的版本不受影响,是否需要采取任何行动?

答:您不需要采取任何行动。

问:如何解决这个问题?

答:升级到2.28或更高版本。或者请联系support@cybellum.com。

问:这个问题是否已经有被潜在攻击者利用了吗?

答:据我们所知,没有。在2023年7月至8月期间,我们已向所有受影响客户发布并部署了一个修复补 丁。该问题的细节于2024年2月18日公布。

问:这个问题会影响Cybellum产品安全平台产生的扫描评估结果或报告吗?

答:不会,该问题仅限于维护服务器,不影响产品安全平台自身功能。

问:这个问题是否会影响用户的隐私信息?

答:不,这个问题仅限于维护服务器,不包括私有信息。

问:这个问题是否起到了“后门”的作用?

答:不,它涉及一个私有加密密钥,被错误地部署在Cybellum的QCOW镜像中。

问:如何防止此类问题再次发生?

答:我们通过持续改进的安全开发生命周期(SDLC)流程、全面的渗透测试、严格的代码审查和采用 领先的SecDevOps实践,不断增强我们的安全协议。

问:如果我有其他问题怎么办?

答:请通过security@cybellum.com联系我们寻求帮助。

据了解,Cybellum产品安全平台是汽车固件安全检测与管理使用最为广泛的产品之一,该平台旨在协助团队在开发全生命周期的每个阶段,从概念设计到开发再到后期生产,都可以识别漏洞。

包括BMW、奥迪、日产、长城、捷豹路虎、合众汽车等主机厂;电装、哈曼、维宁尔、弗吉亚、Mobileye等供应商;中汽中心、中国汽研、赛迪、赛宝等检测机构均是该安全平台的用户,这也是此次漏洞披露引发大规模关注的重要原因。而Cybellum关于漏洞修复及影响程度的反馈结果着实为平台用户打了一针定心剂。

02 强标发布时间敲定,全球迈进强监管时代

随着智能网联汽车带来更大便捷性的同时,其面对的网络攻击风险日益增加。据Upstream Security发布的《2024全球汽车网络安全报告》显示,2023年,潜在影响数以千计至数百万辆移动资产的高规模和大规模事件的数量比2022年增加了2.5倍,其中95%的攻击是远程执行的,且64%的网络攻击是由黑客执行。

“汽车网络安全正处于一个拐点。网络事件在复杂性和影响力上显著增长,威胁着安全和敏感数据,并带来了运营上的重大影响。威胁者的动机正在转向对连接车辆和移动资产的高规模和大规模影响。” Upstream Security首席执行官兼联合创始人Yoav Levy表示。

除了来自外部的网络攻击风险对车主隐私、车企声誉造成的影响,政府层面的监管也是产业链上下游高度关注汽车网络安全威胁的重要驱动因素。

自2022年7月起,根据欧盟的要求,所有新车型需进行R155和R156法规所要求的型式认证,才能申请整车型式认证(WVTA);但从2024年7月起,所有新车都必须满足这两项法规的要求,才能上市销售。

值得一提的是,由LG和Cybellum合作设计推出的汽车网络安全管理系统(CSMS)Cockpit平台,能够监视并维护车辆网络安全,简化OEM的网络安全保障和事件响应任务,确保车辆数字安全且符合不断发展的网络安全法规。

目前,小鹏、理想、极氪、上汽、比亚迪等国内车企均陆续获得了R155、R156及VTA认证,迈出了抢占54个海外市场的第一步——出海合规。

谈思汽车整理制表

与此同时,对标R155和R156,国内强标《汽车整车信息安全技术要求》和《汽车软件升级通用技术要求》也推出在即。据业内人士透露,两项强标将于2025年1月发布,并拟于2026年1月正式实施。

智能汽车的落地,首先必须解决网络数据安全难题,随着强标的正式落地,如何卸除悬在头顶的达摩克里斯之剑,这一车企心心念念的痛点将迎来更明晰的解题方向,中国汽车网络数据安全行业的强监管也将迈入常态化,届时,市场反馈及用户驱动将逐步成为智能汽车的新引爆点!

谈思AutoSec作为颇具影响力的汽车网络安全产业标杆会议,将持续携手业内权威大咖,深研汽车安全产业,为行业源源不断地呈现最新洞见和前沿技术实践,同时赋能供需对接及产业创新,引领智能网联汽车安全生态圈发展!

声明:个人原创,仅供参考

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
一觉醒来,集体崩了!扎克伯格凭一己之力,拉崩整条半导体产业链

一觉醒来,集体崩了!扎克伯格凭一己之力,拉崩整条半导体产业链

清流财记
2026-07-02 11:27:38
日本没想到,美国也没想到,如今的中国泉州,已成了全球焦点

日本没想到,美国也没想到,如今的中国泉州,已成了全球焦点

探源历史
2026-07-01 14:49:43
失二追三大逆转!王楚钦独自回应:感觉不舒服缺少沟通 1-4赖我

失二追三大逆转!王楚钦独自回应:感觉不舒服缺少沟通 1-4赖我

念洲
2026-07-02 10:08:10
阿森纳错失两大中场目标,今夏5大备选浮现

阿森纳错失两大中场目标,今夏5大备选浮现

篮坛第一线
2026-07-03 00:48:20
热刺加入英格兰国门争夺,曼城要价或达6000万镑

热刺加入英格兰国门争夺,曼城要价或达6000万镑

快乐加载中21
2026-07-02 00:14:24
中方警告!美国妄图拿台湾当筹码,现在被一通电话彻底打“哑火”

中方警告!美国妄图拿台湾当筹码,现在被一通电话彻底打“哑火”

老头的传奇色彩
2026-07-03 01:06:03
永远不要在儿媳妇面前,表现出以下这3种行为,切记

永远不要在儿媳妇面前,表现出以下这3种行为,切记

热心市民小黄
2026-07-02 15:34:53
“烂尾”十多年的医院:一群“非吸”投资者的收益幻影

“烂尾”十多年的医院:一群“非吸”投资者的收益幻影

第一财经资讯
2026-07-02 20:40:13
创业板指跌逾6%,全市场超3300家个股下跌

创业板指跌逾6%,全市场超3300家个股下跌

界面新闻
2026-07-02 15:09:02
莫氏鸡煲热度褪去,销量锐减90%,鸡肉准备好却根本没人来吃

莫氏鸡煲热度褪去,销量锐减90%,鸡肉准备好却根本没人来吃

新游戏大妹子
2026-06-28 12:49:42
菅原由势:战巴西的比赛后,我深切感受到自己的硬实力不足

菅原由势:战巴西的比赛后,我深切感受到自己的硬实力不足

懂球帝
2026-07-02 08:02:27
1比2不敌英格兰队止步世界杯,刚果(金)队主帅突获丧父噩耗

1比2不敌英格兰队止步世界杯,刚果(金)队主帅突获丧父噩耗

红星新闻
2026-07-02 12:07:46
日俄战争之俄国妥协风格

日俄战争之俄国妥协风格

书生论剑
2026-06-30 03:18:27
小米NAS太良心:光两块硬盘市价就抵整机售价

小米NAS太良心:光两块硬盘市价就抵整机售价

快科技
2026-07-01 17:22:58
中方代表将赴德黑兰,出席哈梅内伊葬礼

中方代表将赴德黑兰,出席哈梅内伊葬礼

桂系007
2026-07-02 23:35:22
一天暴跌1万亿!

一天暴跌1万亿!

中国半导体论坛
2026-07-02 23:44:23
特朗普28岁女发言人透露60岁丈夫在家带娃,公开产后生活直言艰辛

特朗普28岁女发言人透露60岁丈夫在家带娃,公开产后生活直言艰辛

译言
2026-07-01 23:22:47
A股:全体股民做好心理准备了,明天周五7.3,A股或将再次历史重演!

A股:全体股民做好心理准备了,明天周五7.3,A股或将再次历史重演!

趋势清风侠
2026-07-02 17:50:17
流浪大师沈巍与女友分道扬镳!网友:他们本就是来自不同世界的人

流浪大师沈巍与女友分道扬镳!网友:他们本就是来自不同世界的人

火山詩话
2026-07-02 08:04:08
外交部:巴拉圭政府和领导人应该顺应历史潮流和人民愿望,早日站到历史正确的一边,不要再自陷孤立

外交部:巴拉圭政府和领导人应该顺应历史潮流和人民愿望,早日站到历史正确的一边,不要再自陷孤立

环球网资讯
2026-07-01 15:33:06
2026-07-03 01:59:00
谈思汽车
谈思汽车
智能汽车安全新媒体
93文章数 2关注度
往期回顾 全部

汽车要闻

有纯电有增程 还有二代VLA支持 小鹏MONA L03预售价14.38万起

头条要闻

商户在西安赛格商场坠亡 好友:他曾变卖门店发工资

头条要闻

商户在西安赛格商场坠亡 好友:他曾变卖门店发工资

体育要闻

韩国人,为什么恨透了洪明甫?

娱乐要闻

众星祝福祖国,曾沛慈原形毕露?

财经要闻

千亿茶市场无赢家:澜沧巨亏 八马停"蹄"

科技要闻

马斯克不承认,但SpaceX就该造AI手机

态度原创

时尚
健康
本地
家居
游戏

这个夏天,你一定吃过她们的瓜

这4类消化病患者 吃粘食管住嘴

本地新闻

这场穿越酉阳的光影之旅,张张都是壁纸!

家居要闻

传奇筑 日常诗

国产外设厂"宣布"放弃实体手柄!数字化彻底解决漂移

无障碍浏览 进入关怀版