En novembre 2021, des chercheurs en cybersécurité ont découvert plusieurs vulnérabilités critiques affectant les systèmes Android et embedded Linux . Google a publié sa mise à jour de sécurité mensuelle pour Android, mais les utilisateurs et les fabricants doivent être prêts à patcher le système d'exploitation pour empêcher les attaquants d'exploiter les vulnérabilités. Les vulnérabilités découvertes en novembre couvrent plusieurs possibilités d'exploitation sérieuses pour les attaquants, notamment l'exécution de code à distance (RCE), le déni de service (DoS), un zero-day décrit comme un exploit de mémoire "use-after-free", et l'escalade des privilèges du noyau. Tous ces problèmes sont graves s'ils ne sont pas corrigés, et vous devriez les mettre à jour rapidement pour éviter d'être la prochaine cible.
Malgré ce risque critique, il est courant que de nombreux fabricants et développeurs l'ignorent et évitent les frais généraux liés aux mises à jour. L'application de correctifs et la mise à jour du noyau Linux nécessitent des tests, car il est possible que quelque chose se passe mal, ce qui entraînerait des temps d'arrêt et un désastre potentiel. Pour éviter cela, chez L4B, nous travaillons avec nos clients pour assurer une mise à jour en douceur, de sorte que leurs systèmes IVI et IC soient sécurisés et que les temps d'arrêt soient réduits au minimum.
Android obsolète et nouveaux CVE dangereux
Android équipe de nombreux systèmes IVI, et certains équipementiers continuent d'utiliser les anciennes versions d'Android (versions 6 à 8) parce qu'elles sont stables. Bien qu'il soit stable, tout développeur qui reste sur ces anciennes versions d'Android laisse son application ouverte à de nombreuses vulnérabilités critiques. L'ensemble du système devient une bombe à retardement qui attend que le bon pirate identifie et exploite une vulnérabilité connue.
Google publie fréquemment des correctifs pour remédier aux vulnérabilités, mais il est courant que les équipementiers automobiles et les fabricants de systèmes n'effectuent les mises à jour qu'après un long processus de test. Bien que les tests soient nécessaires, ils laissent aux pirates une fenêtre d'opportunité pour exploiter les noyaux Linux non corrigés et les systèmes présentant des vulnérabilités connues. Si la vulnérabilité comprend une preuve de concept, les attaquants peuvent l'utiliser pour créer rapidement des exploits afin de trouver des systèmes non corrigés.
La vulnérabilité la plus notable dans la dernière version de Google est la CVE-2021-1048, mais Google en a listé plusieurs autres dans son bulletin de sécurité Android. La CVE-2021-1048 rend les systèmes vulnérables à deux exploits : les conditions d'écriture et la manipulation de la mémoire "use-after-free". Les deux peuvent conduire à la divulgation de mémoire aléatoire ou à l'exécution de code à distance, ce qui est un risque critique à laisser sans correctif.
Plusieurs autres vulnérabilités ont été corrigées avec la dernière mise à jour de sécurité, ce qui pourrait avoir de graves conséquences si un système embedded est laissé sur des versions plus anciennes. L4B Automotive vous fournira des solutions de mise à jour en douceur pour sécuriser et stabiliser votre système si vous n'avez pas confiance dans le processus de mise à jour Android. Grâce à notre laboratoire de validation automatique BSP, nous garantissons des artefacts et des images OS sûrs et sécurisés.
La mise à jour du noyau Linux est tout aussi importante que celle des logiciels tiers
La vulnérabilité la plus notable pour Linux provient de BusyBox, un utilitaire Unix populaire qui contient plusieurs applets communs sur les contrôleurs logiques programmables (PLC), les appareils IoT, les interfaces homme-machine (HMI) et les unités de terminal à distance (RTU). C'est cette application qui a introduit plusieurs vulnérabilités sur les systèmes embedded en novembre 2021.
Les chercheurs ont annoncé 14 vulnérabilités couvrant les CVE-2021-42373 à CVE-2021-42386. Ces CVE indiquent que toutes laissent le système vulnérable au déni de service, mais que 10 d'entre elles pourraient être exploitées pour l'exécution de code à distance.
Les vulnérabilités découvertes dans BusyBox affectent un grand nombre de versions, de sorte que chaque installation d'un OEM ou d'un fabricant de système devrait être mise à jour. Les chercheurs ont étudié un certain nombre de microprogrammes de systèmes embedded et ont constaté que 40 % des systèmes étaient vulnérables. Cette découverte rend des millions d'applications et d'environnements vulnérables à la perte de données critiques et aux pannes, et ils doivent être mis à jour immédiatement pour des raisons de sécurité.
Bien que l'exploitation de ces vulnérabilités nécessite des conditions spécifiques et une attaque sophistiquée, il est toujours risqué de laisser un système utilisant BusyBox sans correctif. Ce correctif peut sembler superflu, mais tous les développeurs et fabricants devraient faire de la cybersécurité et de la protection de leurs systèmes une priorité. Les correctifs apportés aux systèmes embedded protègent les clients et leurs données, et une négligence dans la surveillance des environnements critiques peut entraîner des dommages à la marque, des pertes de clients, des pertes de revenus et des coûts de litiges futurs.
À l'instar des systèmes Android, il est compréhensible que de nombreux constructeurs et équipementiers automobiles hésitent à procéder à une mise à niveau immédiate avant de procéder à des tests. Les tests sont toujours nécessaires, mais plus vous attendez, plus la fenêtre d'opportunité pour un attaquant est longue. L4B Automotive peut s'associer à vous pour garantir la sécurité de votre environnement tout en veillant à ce que le processus de mise à jour se déroule de manière fluide et efficace.
