Chuyên gia Kaspersky báo cáo tại Hội nghị thượng đỉnh phân tích bảo mật. Ảnh Kaspersky.

Theo nhóm nghiên cứu ICS CERT của Kaspersky, lỗ hổng zero-day này nằm trong ứng dụng công khai của một nhà thầu đối tác, mở đường cho truy cập trái phép vào hệ thống telematics - “bộ não” của xe, nơi quản lý dữ liệu và điều khiển các chức năng trọng yếu. Trong kịch bản tấn công thực tế, tin tặc có thể buộc xe sang số, tắt động cơ khi đang di chuyển, gây nguy hiểm trực tiếp cho tài xế và hành khách.

Phía nhà sản xuất ô tô

Cuộc đánh giá bảo mật được Kaspersky thực hiện từ xa, tập trung vào các dịch vụ công khai của nhà sản xuất ô tô và hạ tầng của nhà thầu đối tác. Nhóm nghiên cứu phát hiện nhiều dịch vụ web bị lộ ra Internet, trong đó có một lỗ hổng zero-day dạng SQL injection trong ứng dụng wiki - nền tảng cho phép người dùng tạo và chỉnh sửa nội dung trực tuyến.

Khai thác lỗ hổng này, các chuyên gia trích xuất được danh sách người dùng phía nhà thầu cùng với các mật khẩu được lưu dưới dạng mã hóa một chiều. Một phần trong số đó bị giải đoán do chính sách mật khẩu yếu.

Từ đó, nhóm nghiên cứu truy cập vào hệ thống theo dõi sự cố (issue tracking system) - công cụ quản lý lỗi và yêu cầu trong dự án - chứa nhiều thông tin cấu hình nhạy cảm về hạ tầng telematics, bao gồm tệp mật khẩu mã hóa của người dùng trên máy chủ telematics của xe.

Trong xe hiện đại, telematics là bộ phận trung tâm cho phép thu thập, truyền tải, phân tích và sử dụng dữ liệu (như tốc độ, vị trí, trạng thái vận hành) từ các phương tiện được kết nối.

Phía hệ thống xe kết nối

Ở phía hệ thống xe, Kaspersky phát hiện tường lửa bị cấu hình sai, khiến máy chủ nội bộ bị phơi lộ.

Dựa trên mật khẩu tài khoản dịch vụ thu được trước đó, nhóm nghiên cứu có thể truy cập hệ thống tập tin máy chủ, qua đó tìm thấy thêm thông tin đăng nhập của một nhà thầu khác, giúp họ toàn quyền kiểm soát hạ tầng telematics.

Đáng chú ý, các chuyên gia còn phát hiện một lệnh cập nhật firmware có thể bị lợi dụng để tải lên phiên bản firmware đã bị chỉnh sửa tới bộ điều khiển telematics (TCU - Telematics Control Unit).

Hành động này cho phép truy cập vào mạng truyền thông nội bộ của xe - CAN (Controller Area Network), hệ thống kết nối các thành phần quan trọng như động cơ, hộp số và cảm biến.

Một khi đã xâm nhập vào mạng này, kẻ tấn công có thể tác động tới nhiều hệ thống vận hành, bao gồm động cơ, truyền động và các cảm biến an toàn, cho phép tin tặc có khả năng điều khiển hoặc vô hiệu hóa xe trong khi đang di chuyển.

Các chuyên gia an ninh Kaspersky khuyến nghị

Ông Artem Zinenko, Trưởng bộ phận Nghiên cứu và Đánh giá Lỗ hổng Bảo mật của ICS CERT - Kaspersky, cho biết: “Các lỗ hổng bảo mật xuất phát từ những vấn đề khá phổ biến trong ngành công nghiệp ô tô : dịch vụ web công khai, mật khẩu yếu, thiếu xác thực hai yếu tố (2FA) và lưu trữ dữ liệu nhạy cảm không được mã hóa. Vụ việc cho thấy chỉ cần một mắt xích yếu trong cơ sở hạ tầng của nhà thầu cũng có thể dẫn đến nguy cơ xâm phạm toàn bộ hệ thống xe được kết nối. Ngành công nghiệp ô tô cần ưu tiên các biện pháp an ninh mạng mạnh mẽ, đặc biệt là đối với các hệ thống của bên thứ ba, để bảo vệ người lái xe và duy trì niềm tin vào công nghệ xe được kết nối".

Kaspersky khuyến nghị các nhà thầu hạn chế quyền truy cập Internet vào các dịch vụ web thông qua VPN, cô lập các dịch vụ khỏi mạng công ty, thực thi chính sách mật khẩu nghiêm ngặt, triển khai 2FA, mã hóa dữ liệu nhạy cảm và tích hợp ghi nhật ký với hệ thống SIEM để giám sát theo thời gian thực. (SIEM - Security Information and Event Management là hệ thống quản lý sự kiện và thông tin an ninh giúp phát hiện sớm các hành vi bất thường hoặc tấn công mạng).

Đối với nhà sản xuất ô tô, Kaspersky khuyên nên hạn chế quyền truy cập nền tảng tin học từ phân khúc mạng của xe, sử dụng danh sách cho phép cho các tương tác mạng, vô hiệu hóa xác thực mật khẩu SSH, chạy các dịch vụ với đặc quyền tối thiểu và đảm bảo tính xác thực của lệnh trong TCU, cùng với tích hợp SIEM.

Các chuyên gia cho rằng, để đảm bảo an toàn mạng cho xe thông minh, cần có chuẩn an ninh mạng thống nhất toàn cầu cho chuỗi cung ứng ô tô, đồng thời tăng cường kiểm thử độc lập từ bên thứ ba. Nếu không được kiểm soát chặt chẽ, những vụ tấn công trong tương lai có thể không chỉ làm tê liệt phương tiện mà còn đe dọa tính mạng con người.

An Lâm (Theo Kaspersky)