2021年11月、サイバーセキュリティ研究者は、 アンドロイドと 組込みLinux システムに影響を与えるいくつかの重大な脆弱性を発見した。GoogleはAndroidの月例セキュリティ・アップデートをリリースしたが、攻撃者による脆弱性の悪用を阻止するためには、ユーザーやメーカーが積極的にOSにパッチを当てる必要がある。11月に発見された脆弱性には、リモート・コード実行(RCE)、サービス拒否(DoS)、use-after-freeメモリ・エクスプロイトと呼ばれるゼロデイ、カーネル特権の昇格など、攻撃者にとって深刻な悪用の機会がいくつか含まれている。これらの問題はすべて、パッチを適用せずに放置しておくと深刻な事態を招くため、次の標的にならないよう、速やかにアップデートを行う必要がある。
重大なリスクがあるにもかかわらず、多くのメーカーや開発者はリスクを無視し、アップデートのオーバーヘッドを避けるのが一般的です。Linuxカーネルにパッチを当て、アップデートを行うにはテストが必要です。何かがうまくいかず、ダウンタイムや大惨事につながる可能性があるからです。このような事態を避けるため、L4Bではお客様と協力してスムーズなアップグレードを実現し、IVIやICシステムの安全性とダウンタイムを最小限に抑えます。
時代遅れのアンドロイドと新たな危険なCVE
Androidは多くのIVIシステムに搭載されていますが、安定性が高いという理由で、古いバージョン(バージョン6~8)のAndroidを使い続けているOEMもあります。安定しているとはいえ、古いバージョンのAndroidを使い続けている開発者は、アプリケーションに致命的な脆弱性を多数抱えていることになります。システム全体が、適切なハッカーが既知の脆弱性を特定し悪用するのを待つ時限爆弾と化すのだ。
グーグルは、脆弱性に対処し修正するためのパッチを頻繁にリリースしているが、自動車OEMやシステムメーカーは、長いテストプロセスを経てからしかアップデートを行わないのが一般的だ。テストは必要だが、攻撃者にとっては、パッチが適用されていないLinuxカーネルや既知の脆弱性を持つシステムを悪用する隙ができる。脆弱性に概念実証が含まれている場合、攻撃者はそれを使用して、パッチが適用されていないシステムを見つけるためのエクスプロイトを迅速に作成することができます。
グーグルの最新リリースで最も注目すべき脆弱性はCVE-2021-1048だが、グーグルはAndroid Security Bulletinで他にもいくつか挙げている。CVE-2021-1048は、write-what-where条件と use-after-freeメモリ操作という2つの脆弱性をシステムに残します。どちらも、ランダムなメモリ開示やリモート・コード実行につながる可能性があり、パッチを適用しないままにしておくのは致命的なリスクだ。
他にもいくつかの脆弱性が最新のセキュリティアップデートで修正されましたが、組み込みシステムを古いバージョンのままにしておくと深刻な結果を招く可能性があります。L4B Automotiveは、Androidのアップグレードプロセスに自信がないお客様に、システムの安全性と安定性を確保するためのスムーズなアップデートソリューションを提供します。 当社のBSP自動検証ラボにより、安全で確実な成果物とOSイメージを保証します。
Linuxカーネルのアップデートは、サードパーティ製ソフトウェアへのパッチ適用と同様に重要である
BusyBoxは、プログラマブル・ロジック・コントローラ(PLC)、IoTデバイス、ヒューマン・マシン・インターフェース(HMI)、リモート・ターミナル・ユニット(RTU)などで一般的なアプレットを含む、人気の高いUnixユーティリティである。2021年11月に組込みシステムに複数の脆弱性をもたらすことが判明したのは、このアプリケーションだ。
研究者は、CVE-2021-42373から CVE-2021-42386をカバーする14の脆弱性を発表した。これらのCVEによると、すべてのシステムにサービス拒否の脆弱性が残されているが、そのうち10件はリモートコード実行のために悪用される可能性がある。
発見されたBusyBoxの脆弱性は、様々なバージョンに影響するため、OEMやシステムメーカーのインストールはすべてアップデートする必要がある。研究者は多くの組み込みシステムのファームウェアを調査し、40%のシステムに脆弱性があることを発見した。この発見により、何百万ものアプリケーションや環境が重大なデータ損失やクラッシュの危険にさらされることになる。
これらの脆弱性を悪用するには、特定の条件と高度な攻撃が必要だが、それでもBusyBoxを使用しているシステムにパッチが適用されていないままにしておくのは危険だ。不必要なパッチのように思えるかもしれませんが、すべての開発者と製造者は、サイバーセキュリティとシステムの保護を優先すべきです。組込みシステムにパッチを適用することは、顧客とそのデータを保護することであり、重要な環境の監視を怠ることは、ブランドの毀損、顧客の損失、収益の損失、将来の訴訟費用につながる可能性がある。
アンドロイド・システムと同じように、多くの自動車OEMやメーカーがテスト前にすぐにアップグレードすることをためらうのは理解できる。テストは常に必要ですが、待てば待つほど、攻撃者にとっての好機は長くなります。L4B Automotiveは、アップデートのプロセスを スムーズかつ効率的に進めながら、お客様の環境の安全性を確保するためのパートナーです。
