2023年7月25日,车联网产品安全漏洞专业库（CAVD）年中总结会暨2023车联网网络安全演练启动会在天津中国汽车技术研究中心举行,会上举行了工信部车联网产品安全漏洞专业库技术支撑单位授牌表彰仪式，犬安科技凭借在车联网安全领域领先的技术实力和漏洞领域突出的行业贡献成功入选工信部车联网产品安全漏洞专业库技术支撑单位。

工业和信息化部网络安全管理局相关领导为车联网产品安全漏洞专业库技术支撑单位授牌

中汽中心、天津市通管局、天津市工信局等相关领导出席了会议并听取了CAVD年中工作总结，CAVD的发展状况、漏洞收录情况及后续发展规划。

2023车联网网络安全演练启动会

犬安科技作为攻方参演队伍和与会的主机厂、Tier1以及其他队伍就车联网安全行业现状、需求、演练规则等话题向相关领导进行了汇报和探讨。

犬安科技 (GoGoByte) 专注于智能网联车及IoT领域网络安全，为客户提供从芯片到云端，从设计研发到安全运营的全技术栈、全生命周期的安全服务和产品。犬安科技曾在 MITRE 主办的物联网安全挑战赛中获得全球第六名，并且多次为国家关键基础设施单位提供网络安全服务，为国家核安保中心网络安全演习提供技术支持，为华为、特斯拉、中国移动、GSMA、小米、NXP、通用汽车等物联网设备厂商提交安全漏洞并受到致谢。公司创办的网络安全行业研讨论坛 GoGoHack 目前已有 800 名以上的技术专家入驻。犬安科技提供的产品和服务包括：

1、险瞩（ThreatTrace）-网联车全生命周期安全管理平台平台涵盖了与WP.29 R155、ISO/SAE 21434 等相关法规标准对齐的各类应用及工具，覆盖汽车研发 V模型中不同阶段。通过统一的安全模型在不同应用和角色间完成自动化编排及一站式协作，助力企业快速完成对网络安全威胁的持续响应。

2、御织（DefenseWeaver）-可视化威胁建模与风险评估平台帮助企业进行网络安全分析与风险评估(TARA)、设计并规划安全防御措施，完成企业网络安全建设「冷启动」。工具良好对齐 ISO/SAE 21434 等相关法规和标准，支持多人协同、数据复用及跨组织数据交换等功能。

3、ThreatHound-车联网威胁情报平台依托 GoGoHack安全社区、威胁情报联盟等信息来源，监测和分析车联网系统中出现的安全漏洞、攻击行为和威胁事件，针对攻击者常用攻击手段等方式做出攻击者画像，为制定有效的防御措施提供依据。

4、ThreatGo-安全测试平台平台涵盖软硬件自动化安全测试、测试用例及报告管理等功能。用户能使用可视化的形式编排测试项，并通过安全建模信息，自动化关联安全测试用例，云端调度硬件测试设备完成自动化软硬件测试。

5、GoGoBark-安全测试硬件犬安科技自研安全测试设备，功能覆盖车内外各种总线和无线协议，配合ThreatGo丰富的测试用例库，帮助检测机构、整车制造商和零部件供应商等构建标准化的汽车信息安全检测能力。

6、渗透测试服务犬安科技集合了从硅到云的网络安全专家队伍，精通硬件、无线、车载总线、云端、移动端的安全测试，已经通过技术实力帮助用户发现大量漏洞赢得了客户的良好口碑。

喜讯！犬安科技入选工信部车联网产品安全漏洞专业库CAVD技术支撑单位最先出现在GoGoByte。

2022年11月，犬安科技收到ASRG-China社区的漏洞情报，鸿泉物联的T-Box存在严重漏洞，该T-Box在三一重工等企业的工程测量上被大量使用，结合三一重工自身服务端漏洞可能造成严重后果。犬安科技在第一时间联系了三一重工集团安全团队和鸿泉物联，提供了该漏洞的详细情报，并给出了相应的修复建议。同时，犬安科技向工信部车联网产品安全漏洞专业库 CAVD（China Automobile Vulnerability Database）通报了该漏洞情报，根据《CAVD 漏洞分类分级管理规则》评定，此漏洞危害等级为“超危”。

在经过ASRG、犬安科技、CAVD和相关厂商等多方力量的快速响应和处理后，该漏洞现已得到修复，且并未造成任何严重损失。ASRG已经赋予此漏洞编号CVE-2023-3028, CVSS Base Score 为 Critical 9.8 “超危”，与《CAVD 漏洞分类分级管理规则》评定一致。

漏洞描述：

鸿泉 HQT-401 TBox存在漏洞导致导致MQTT服务器的地址泄露，而采用鸿泉 HQT-401 TBox的三一重工车辆的服务器（MQTT后端）的身份验证不足致使攻击者可以访问甚至篡改整个车队的控制数据和状态数据，其中包含多个漏洞：

– MQTT 后端不需要身份验证，允许攻击者进行未经授权的连接。

– 车辆将其遥测数据（例如GPS位置，速度，里程表，燃料等）作为公共主题中的消息发布。后端还以 MQTT 在公共主题中发布的形式向车辆发送命令。因此，攻击者可以访问由后端管理的整个车队的这些敏感机密数据。

– 车辆或后端发送的 MQTT 消息未加密或身份验证。攻击者可以创建和发布消息以模拟车辆或后端。例如，攻击者可以向后端发送有关车辆位置的错误信息欺骗后台。

– 后端可以通过在公共主题上发送特定的 MQTT 消息将数据注入车辆的控制器局域网总线。由于这些消息未经身份验证或加密，攻击者可以冒充后端，创建虚假消息并向后端管理的任何车辆的控制器局域网（CAN）注入控制数据。

车辆的安全问题涉及整个汽车产业链企业，上下游任何企业的产品缺陷都将导致严重的安全隐患。作为助力汽车行业安全发展的重要一环，犬安科技始终致力于为汽车行业提供全生命周期的网络安全服务，近年来积极通过组建社区、开展协同项目、研发创新产品等方式，在实践中为企业安全问题排忧纾困，将“守护万物互联的科技创新，为汽车行业安全发展保驾护航”的使命职责落到实处。

该系列的漏洞由ASRG安全研究员Ramiro Pareja Veredas和Yashin Mehaboobe发现并提交报告。

更多漏洞信息请参考：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3028

https://garage.asrg.io/cve-2023-3028-improper-backend-communications-allow-access-and-manipulation-of-the-telemetry-data/

https://nvd.nist.gov/vuln/detail/CVE-2023-3028

犬安联手ASRG-China社区协助修复三一重工等企业超危漏洞最先出现在GoGoByte。