2022年11月，犬安科技收到ASRG-China社区的漏洞情报，鸿泉物联的T-Box存在严重漏洞，该T-Box在三一重工等企业的工程测量上被大量使用，结合三一重工自身服务端漏洞可能造成严重后果。犬安科技在第一时间联系了三一重工集团安全团队和鸿泉物联，提供了该漏洞的详细情报，并给出了相应的修复建议。同时，犬安科技向工信部车联网产品安全漏洞专业库 CAVD（China Automobile Vulnerability Database）通报了该漏洞情报，根据《CAVD 漏洞分类分级管理规则》评定，此漏洞危害等级为“超危”。

在经过ASRG、犬安科技、CAVD和相关厂商等多方力量的快速响应和处理后，该漏洞现已得到修复，且并未造成任何严重损失。ASRG已经赋予此漏洞编号CVE-2023-3028, CVSS Base Score 为 Critical 9.8 “超危”，与《CAVD 漏洞分类分级管理规则》评定一致。

漏洞描述：

鸿泉 HQT-401 TBox存在漏洞导致导致MQTT服务器的地址泄露，而采用鸿泉 HQT-401 TBox的三一重工车辆的服务器（MQTT后端）的身份验证不足致使攻击者可以访问甚至篡改整个车队的控制数据和状态数据，其中包含多个漏洞：

– MQTT 后端不需要身份验证，允许攻击者进行未经授权的连接。

– 车辆将其遥测数据（例如GPS位置，速度，里程表，燃料等）作为公共主题中的消息发布。后端还以 MQTT 在公共主题中发布的形式向车辆发送命令。因此，攻击者可以访问由后端管理的整个车队的这些敏感机密数据。

– 车辆或后端发送的 MQTT 消息未加密或身份验证。攻击者可以创建和发布消息以模拟车辆或后端。例如，攻击者可以向后端发送有关车辆位置的错误信息欺骗后台。

– 后端可以通过在公共主题上发送特定的 MQTT 消息将数据注入车辆的控制器局域网总线。由于这些消息未经身份验证或加密，攻击者可以冒充后端，创建虚假消息并向后端管理的任何车辆的控制器局域网（CAN）注入控制数据。

车辆的安全问题涉及整个汽车产业链企业，上下游任何企业的产品缺陷都将导致严重的安全隐患。作为助力汽车行业安全发展的重要一环，犬安科技始终致力于为汽车行业提供全生命周期的网络安全服务，近年来积极通过组建社区、开展协同项目、研发创新产品等方式，在实践中为企业安全问题排忧纾困，将“守护万物互联的科技创新，为汽车行业安全发展保驾护航”的使命职责落到实处。

该系列的漏洞由ASRG安全研究员Ramiro Pareja Veredas和Yashin Mehaboobe发现并提交报告。

更多漏洞信息请参考：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3028

https://garage.asrg.io/cve-2023-3028-improper-backend-communications-allow-access-and-manipulation-of-the-telemetry-data/

https://nvd.nist.gov/vuln/detail/CVE-2023-3028

犬安联手ASRG-China社区协助修复三一重工等企业超危漏洞最先出现在犬安科技 GoGoByte。