10月24日,在上海举办的2020国际安全极客大赛(Geek Pwn 2020)上,一位极客展示了特斯拉自动驾驶功能中存在的漏洞。
该漏洞源于特斯拉车身前方安装的用于进行障碍物识别的毫米波雷达,该雷达通过发送和接受毫米波监测与目标物体的距离、速度和方向。
当雷达受到干扰时,汽车自动驾驶功能将无法识别障碍物。黑客可使用成本低廉的“雷达干扰枪”进行攻击,成功利用此漏洞可能导致汽车无法及时刹车,从而造成交通事故。
之所以引起人们的广泛关注无外乎——
- 大厂:特斯拉,纯电动汽车的全球标杆企业
- 雷达:汽车上的标配,不能没有你
- 自动驾驶:代表人类未来的先进技术,而且我们正在一步步实现它
安全:雷达受到干扰,一不小心就玩完了,钱还有那么多,命可能没了……
安全无小事,更何况被誉为国家经济命脉重要基础设施的工业控制系统。由国家工业信息安全发展研究中心组织发起的国家工业信息安全漏洞库(CICSVD)就面向原材料工业、装备工业、消费品工业、电子信息制造、国防军工、能源、交通、水利、市政、民用核设施等行业领域,重点关注工业硬件、工业软件等相关产品和组件的安全漏洞、补丁及解决方案的研究。
国家工业信息安全漏洞库会实时更新数据信息,同时披露安全建议&解决方案,或补丁信息*图片来源:CICSVD
根据公布的9月数据来看,CICSVD共收集整理工业信息安全漏洞229个,环比上升172.6%。其中,通用型漏洞202个,事件型漏洞27个,涉及55家厂商,一些工控大厂产品涉及其中。
*图片来源:CICSVD
在收录的通用型漏洞中,超危漏洞44个、高危漏洞77个,高危及以上漏洞占比59.9%。危害程度较高的漏洞有:Nortek Security & Control Linear eMerge 50P/5000P 危险类型文件的无限制上传漏洞、Wibu-System CodeMeter 缓冲区访问长度不正确漏洞、Chunghwa Telecom HiNet GPON 访问控制错误漏洞等。
受影响产品共涉及8个大类、30个小类。其中,工业主机设备和软件类、物联网智能设备类、工业网络通信设备类分列大类的前三位,智能医疗设备、操作员面板(HMI)、组态软件、数据采集与监控系统(SCADA)、可编程逻辑控制器(PLC)分列小类的前五位。
*图片来源:CICSVD
截至2020年10月29日,CICSVD今年共收集整理工业信息安全漏洞1536个,超危漏洞316个,高危漏洞667个,高危及以上漏洞占比64.0%。
漏洞成因主要涉及格式化字符串错误、跨站脚本、命令注入、代码注入、SQL注入、操作系统命令注入、参数注入、数字错误、路径遍历、后置链接等。
CICSVD收录的漏洞成因类别趋势(时间截至2020年10月29日)
*图片来源:CICSVD
难道只有问题,没有办法了么?
请各位观者以及用户不要过分担心!
因为查看每条漏洞详情,都会有相关的安全建议&解决方案、补丁信息,方便产品使用者及时查缺补漏。
举个栗子:
赶紧自查一下你家的产品有没有安全漏洞,打没打补丁。
资料来源:国家工业信息安全漏洞库(CICSVD)
