Details Disclosed for Mercedes-Benz Infotainment Vulnerabilities
- 취약점 개요
- Kaspersky 연구팀, 메르세데스-벤츠 MBUX(Mercedes-Benz User Experience) 인포테인먼트 시스템에서 12개 이상의 취약점 발견
- 대부분 1세대 MBUX에서 확인되었으며, 최신 버전에는 영향 없음
- 서비스 거부(DoS) 공격, 데이터 탈취, 명령 주입(Command Injection), 권한 상승(Privilege Escalation) 가능
- 2023~2024년 CVE 식별자 할당됨
- 공격 가능 시나리오
- 물리적 접근 필요
- 차량 내부 접근 후 헤드 유닛을 분리 및 개방해야 공격 가능
- USB 또는 맞춤형 UPC 연결을 이용해 시스템 조작 가능
- 가능한 공격 행위
- 도난 방지(Anti-theft) 기능 비활성화
- 차량 튜닝(Modding) 및 설정 변경
- 유료 서비스 잠금 해제
- 메르세데스-벤츠 대응 조치
- 2022년 8월, 외부 보안 연구원으로부터 해당 취약점에 대한 최초 제보 접수
- 보안 패치 적용 완료, 최신 버전의 MBUX에는 해당 취약점 영향 없음
- 취약점 공개 프로그램(Vulnerability Disclosure Program) 운영 중
- 과거에도 원격 해킹 가능 취약점 보고됨
- 1년 전, GitHub 토큰 유출 사고 발생 → 기업 GitHub Enterprise 서버 내 소스코드 전체 접근 가능
- 보안 권고
- 1세대 MBUX 시스템 사용 차량 소유자는 최신 소프트웨어 패치 적용 필수
- 물리적 접근을 통한 공격 차단을 위해 차량 내부 보안 강화 필요
- 자동차 제조사는 보안 연구자와 협력하여 지속적인 취약점 점검 및 패치 제공해야 함
- 공급망 보안 및 내부 개발 환경 보호 필요(GitHub 토큰 유출 방지 등)
'Kant's IT > Vulnerability' 카테고리의 다른 글
| SUSE 리눅스 배포판의 'go-git' 라이브러리에서 발견된 치명적인 주입 취약점 (0) | 2025.02.06 |
|---|---|
| HPE Aruba 네트워크 취약점: 원격 임의 코드 실행 가능성 (0) | 2025.02.03 |
| Azure DevOps 다중 취약점 발견…CRLF 주입 및 DNS 재바인딩 공격 가능 (0) | 2025.02.03 |
| 기업의 취약점 패치 미흡으로 보안 위협 증가 (0) | 2025.02.03 |
| WGS-804HPT 스위치의 치명적 취약점: 원격 코드 실행(RCE) 및 네트워크 침해 가능성 (0) | 2025.02.02 |