2021 年 11 月,网络安全研究人员发现了几个影响 安卓和嵌入式 Linux 系统的关键漏洞。谷歌发布了安卓系统的月度安全更新,但用户和制造商必须愿意为操作系统打补丁,以阻止攻击者利用漏洞。11 月份发现的漏洞为攻击者提供了几个严重的漏洞利用机会,包括远程代码执行(RCE)、拒绝服务(DoS)、被描述为 "使用后无内存 "漏洞的零日漏洞以及内核权限升级。所有这些问题如果不打补丁都会很严重,您应该尽快更新,以免成为下一个攻击目标。
即使存在重大风险,许多制造商和开发人员还是会忽视风险,避免更新的开销。Linux 内核的补丁和更新需要测试,因为有可能出现问题,从而导致停机和潜在灾难。为了避免这种情况,我们 L4B 正与客户共同努力,确保顺利升级,从而保证 IVI 和 IC 系统的安全,并最大限度地减少停机时间。
过时的安卓系统和新的危险 CVE
Android 为许多 IVI 系统提供动力,一些原始设备制造商仍在使用旧版本的 Android(版本 6 - 8),因为它很稳定。虽然它很稳定,但任何仍使用这些旧版本安卓系统的开发人员都会使他们的应用程序面临许多关键漏洞。这使得整个系统成为一颗定时炸弹,等待着合适的黑客发现并利用已知漏洞。
谷歌经常发布补丁来解决和修复漏洞,但汽车原始设备制造商和系统制造商通常在经过漫长的测试过程后才进行更新。虽然测试是必要的,但这也为攻击者利用未打补丁的 Linux 内核和已知漏洞的系统留下了可乘之机。如果漏洞包含概念验证,攻击者就可以利用它快速创建漏洞利用程序,找到未打补丁的系统。
谷歌最新版本中最显著的漏洞是CVE-2021-1048,但谷歌在其Android 安全公告中还列出了其他几个漏洞。CVE-2021-1048使系统容易受到两个漏洞的攻击:"写在什么地方 "条件和 "使用后无"内存操作。这两个漏洞都可能导致随机内存泄露或远程代码执行,这是未打补丁的重大风险。
最新的安全更新还修补了其他几个漏洞,如果嵌入式系统仍使用旧版本,所有这些漏洞都可能造成严重后果。如果您对安卓升级过程没有信心,L4B Automotive 将为您提供平稳的升级解决方案,以确保系统安全和稳定。 通过我们的 BSP 自动验证实验室,我们可以确保工件和操作系统映像的安全可靠。
更新 Linux 内核与修补第三方软件同等重要
最值得注意的 Linux 漏洞来自BusyBox,它是一种流行的 Unix 实用程序,包含多个在可编程逻辑控制器 (PLC)、物联网设备、人机界面 (HMI) 和远程终端装置 (RTU) 上常见的小程序。2021 年 11 月,正是这个应用程序被发现在嵌入式系统中引入了多个漏洞。
研究人员公布了从CVE-2021-42373到CVE-2021-42386 的 14 个漏洞。这些 CVE 表明,所有漏洞都会使系统受到拒绝服务的攻击,但其中 10 个漏洞可被利用来远程执行代码。
已发现的 BusyBox 漏洞影响到多个版本,因此每个 OEM 或系统制造商安装的系统都应进行更新。研究人员对一些嵌入式系统固件进行了研究,发现 40% 的系统存在漏洞。这一发现使数以百万计的应用程序和环境容易受到关键数据丢失和崩溃的影响,出于安全考虑,它们应立即更新。
虽然利用这些漏洞需要特定的条件和复杂的攻击手段,但让任何使用 BusyBox 的系统不打补丁仍然是有风险的。这似乎是一个不必要的补丁,但所有开发人员和制造商都应将网络安全和系统保护放在首位。为嵌入式系统打补丁可以保护客户及其数据,而对关键环境的疏忽则有可能导致品牌受损、客户流失、收入损失和未来的诉讼费用。
就像安卓系统一样,许多汽车原始设备制造商和生产商在测试之前犹豫是否立即升级,这是可以理解的。测试总是必要的,但等待的时间越长,攻击者的机会之窗就越长。L4B Automotive 可以与您合作,确保您的环境安全,同时保证升级过程 顺利高效地进行。
