research 归档 - GoGoByte https://www.gogobyte.com/en/category/research-en-2/ Full-lifecycle Cybersecurity Solutions for Connected Vehicles Mon, 09 Feb 2026 02:29:49 +0000 en-US hourly 1 https://wordpress.org/?v=6.9.4 https://www.gogobyte.com/wp-content/uploads/2024/08/cropped-logo-150x150.webp research 归档 - GoGoByte https://www.gogobyte.com/en/category/research-en-2/ 32 32 发现BMW超危漏洞!犬安科技产品御织&GoGoBark再立新功 https://www.gogobyte.com/en/gogobark-and-defenseweaver-help-bmw-finding-critical-vulnerability/ Wed, 03 Apr 2024 02:37:03 +0000 http://www.gogobyte.com/gogobark-and-defenseweaver-help-bmw-finding-critical-vulnerability/ 犬安科技凭旗下御织威胁分析平台和GoGoBark汽车安全综合测试仪发现了BMW的超危漏洞,荣获颁发的超标准漏洞奖5000美元...

发现BMW超危漏洞!犬安科技产品御织&GoGoBark再立新功最先出现在GoGoByte

]]> 近日,犬安科技再次展示了其在网联汽车安全领域的卓越攻防能力,凭借旗下御织威胁分析平台和GoGoBark汽车安全综合测试仪,成功发现了BMW的超危漏洞,并荣获宝马汽车颁发的超标准漏洞奖金5000美元。

本次漏洞评分为9.6分,属于超危Critical漏洞

作为犬安科技公司旗下的核心产品之一,御织平台以其卓越的威胁分析能力著称,在本次漏洞发掘过程中,犬安科技团队通过对BMW车辆网络系统的分析,成功识别并定位了风险点,并利用犬安科技自主研发的GoGoBark汽车安全综合测试仪器进行了风险点的漏洞验证测试,从而发现了此超危漏洞,充分展现了犬安科技安全产品在汽车网络安全技术领域的深厚积累与实力。该产品通过对大量汽车品牌的全面测试,为发现车辆存在的潜在安全风险和验证网络安全设计目标提供了重要保障,受到广大客户的高度认可和赞誉。

犬安科技的CSCAD(Cyber Security Computer Aided Design)网络安全辅助设计和建模工具产品御织(DefenseWeaver),可以让用户通过图形化的方式将设计阶段的各个产出物整合并导入到安全模型中,建立汽车网络架构设计图、损害场景、威胁场景以及攻击路径、安全目标等关键数据的关联关系,在概念设计阶段,系统、全面的识别安全威胁及其攻击路径,准确的评估威胁的攻击可行性及其带来的影响,实现安全措施的优先级排布,输出可量化的评估结果,快速完成TARA和网络安全需求分析和设计。

犬安科技自主研发了GoGoBark系列测试硬件产品和TreatGo自动测试平台,整合了公司在网络安全领域的丰富技术积累,具备高效可靠的测试功能和灵活易用的特性,为客户提供了全方位的汽车网络安全测试解决方案。GoGoBark系列测试硬件产品不仅能够全面覆盖汽车网络系统的各个方面,还能有效检测验证各类网络攻击和安全漏洞,为客户提供了全面可靠的安全测试保障。

此次漏洞发现不仅突显了御织平台和GoGoBark产品在网络安全防护方面的突出作用,也再次彰显了犬安科技在攻防技术能力方面的领先地位。犬安科技一直致力于为汽车行业提供全生命周期的网络和数据安全解决方案及服务,成绩斐然。公司将继续发扬攻防精神,不断加强技术研发和创新,为客户提供更优质、更专业的汽车网络安全保障。犬安科技,携手合作,共铸汽车网络安全的坚实防线,为万物互联时代的科技创新保驾护航。

发现BMW超危漏洞!犬安科技产品御织&GoGoBark再立新功最先出现在GoGoByte

]]> 犬安联手ASRG-China社区协助修复三一重工等企业超危漏洞 https://www.gogobyte.com/en/collaborates-with-asrg-china-community-to-assist-in-fixing-critical-vulnerabilities-zh/ Thu, 15 Jun 2023 02:49:03 +0000 http://www.gogobyte.com/collaborates-with-asrg-china-community-to-assist-in-fixing-critical-vulnerabilities-zh/ 犬安科技收到ASRG-China社区漏洞情报后联系相关企业和CAVD漏洞库,提供漏洞的情报并给出修复建议。此漏洞威胁等级为“超危”,在多方的协同下,相关厂商已于近期完成修复...

犬安联手ASRG-China社区协助修复三一重工等企业超危漏洞最先出现在GoGoByte

]]>

2022年11月,犬安科技收到ASRG-China社区的漏洞情报,鸿泉物联的T-Box存在严重漏洞,该T-Box在三一重工等企业的工程测量上被大量使用,结合三一重工自身服务端漏洞可能造成严重后果。犬安科技在第一时间联系了三一重工集团安全团队和鸿泉物联,提供了该漏洞的详细情报,并给出了相应的修复建议。同时,犬安科技向工信部车联网产品安全漏洞专业库 CAVD(China Automobile Vulnerability Database)通报了该漏洞情报,根据《CAVD 漏洞分类分级管理规则》评定,此漏洞危害等级为“超危”。

在经过ASRG、犬安科技、CAVD和相关厂商等多方力量的快速响应和处理后,该漏洞现已得到修复,且并未造成任何严重损失。ASRG已经赋予此漏洞编号CVE-2023-3028, CVSS Base Score 为 Critical 9.8超危”,与《CAVD 漏洞分类分级管理规则》评定一致。

漏洞描述:

鸿泉 HQT-401 TBox存在漏洞导致导致MQTT服务器的地址泄露,而采用鸿泉 HQT-401 TBox的三一重工车辆的服务器(MQTT后端)的身份验证不足致使攻击者可以访问甚至篡改整个车队的控制数据和状态数据,其中包含多个漏洞:

– MQTT 后端不需要身份验证,允许攻击者进行未经授权的连接。

– 车辆将其遥测数据(例如GPS位置,速度,里程表,燃料等)作为公共主题中的消息发布。后端还以 MQTT 在公共主题中发布的形式向车辆发送命令。因此,攻击者可以访问由后端管理的整个车队的这些敏感机密数据。

– 车辆或后端发送的 MQTT 消息未加密或身份验证。攻击者可以创建和发布消息以模拟车辆或后端。例如,攻击者可以向后端发送有关车辆位置的错误信息欺骗后台。

– 后端可以通过在公共主题上发送特定的 MQTT 消息将数据注入车辆的控制器局域网总线。由于这些消息未经身份验证或加密,攻击者可以冒充后端,创建虚假消息并向后端管理的任何车辆的控制器局域网(CAN)注入控制数据。

车辆的安全问题涉及整个汽车产业链企业,上下游任何企业的产品缺陷都将导致严重的安全隐患。作为助力汽车行业安全发展的重要一环,犬安科技始终致力于为汽车行业提供全生命周期的网络安全服务,近年来积极通过组建社区、开展协同项目、研发创新产品等方式,在实践中为企业安全问题排忧纾困,将“守护万物互联的科技创新,为汽车行业安全发展保驾护航”的使命职责落到实处。

该系列的漏洞由ASRG安全研究员Ramiro Pareja Veredas和Yashin Mehaboobe发现并提交报告。

更多漏洞信息请参考:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3028

https://garage.asrg.io/cve-2023-3028-improper-backend-communications-allow-access-and-manipulation-of-the-telemetry-data/

https://nvd.nist.gov/vuln/detail/CVE-2023-3028

犬安联手ASRG-China社区协助修复三一重工等企业超危漏洞最先出现在GoGoByte

]]>