上周，俄羅斯網絡安全公司卡巴斯基發布了一篇博客文章（梅賽德斯-奔馳主機安全研究報告），深入分析了梅賽德斯—奔馳用戶體驗（MBUX）系統。此次研究主要針對第一代MBUX系統，卡巴斯基詳細描述了它的研究發現，并針對每個漏洞發布了安全公告。

漏洞列表

• CVE-2024-37602
• CVE-2024-37600
• CVE-2024-37603
• CVE-2024-37601
• CVE-2023-34406
• CVE-2023-34397
• CVE-2023-34398
• CVE-2023-34399
• CVE-2023-34400
• CVE-2023-34401
• CVE-2023-34402
• CVE-2023-34403
• CVE-2023-34404

這些漏洞中，部分可用于發動拒絕服務（DoS）攻擊，另一些則可用于獲取數據、執行命令注入以及提升權限。卡巴斯基證實，攻擊者如果能夠接觸到目標車輛，就可以通過USB或自定義UPC連接利用某些漏洞，禁用主機單元中的防盜保護功能、對車輛進行調校以及解鎖付費服務。這些漏洞已被分配了2023年和2024年的CVE標識符。

梅賽德斯—奔馳方面表示，他們早在2022年就已知曉卡巴斯基的研究結果。同時指出，研究人員所描述的攻擊場景需要對車輛進行現場物理接觸，并且需要進入車輛內部，甚至拆卸并打開主機單元，較新的信息娛樂系統版本不受影響。梅賽德斯—奔馳強調，其產品和服務的安全性具有“高優先級”，并呼吁研究人員通過其漏洞披露計劃報告相關發現。

此前，該公司還曾因員工泄露GitHub令牌而暴露其IT基礎設施的安全隱患。一年前，RedHunt Labs曾報告稱，一名奔馳員工泄露的GitHub令牌可訪問公司GitHub企業服務器上存儲的所有源代碼。

此次事件也再次提醒汽車行業，隨著車輛智能化程度的提升，網絡安全問題已成為不容忽視的重要課題。

參考鏈接：https://www.securityweek.com/details-disclosed-for-mercedes-benz-infotainment-vulnerabilities/