JVNDB-2015-003899

Fiat Chrysler Automobiles で使用される Uconnect における車両の動作を制御される脆弱性

Fiat Chrysler Automobiles (FCA) で使用される Uconnect には、車両の動作を制御される、人間への危害または物理的な損傷を引き起こされる、またはダッシュボードの設定を変更される脆弱性が存在します。

本脆弱性は、2014 Jeep Cherokee Limited FWD において実証されました。

FCA US LLC.

• Uconnect 15.26.1 より前のバージョン (2013年、2014年モデルの車両に搭載)
• Uconnect 15.17.5 より前のバージョン (2015年モデルの車両に搭載)

FCA と National Highway and Trasportation Safety Administration (NHTSA) は、影響を受ける可能性のあるすべてのモデルを対象に、リコール (NHTSA campaign 15V461000, "Radio Software Security Vulnerabilities") を発表しています。リコール対象は次のモデルです。

　* 2013-2015 Ram 1500 Pickup
　* 2013-2015 Ram 3500 Cab Chassis
　* 2013-2015 Ram 2500 Pickup
　* 2013-2015 Ram 3500 Pickup
　* 2013-2015 Ram 4500/5500 Cab Chassis
　* 2013-2015 Dodge Viper
　* 2014-2015 Jeep Cherokee
　* 2014-2015 Jeep Grand Cherokee
　* 2014-2015 Dodge Durango
　* 2015 Chrysler 200s
　* 2015 Chrysler 300s
　* 2015 Dodge Challenger
　* 2015 Dodge Charger

詳細は、NHTSA の レポート と リコールまでの経緯 を参照ください。

同一のセルラーネットワークを使用する第三者により、エンターテインメントシステムのファームウェアの変更、および不十分な "無線セキュリティ保護 (Radio security protection)" による CAN (Controller Area Network) バスへのアクセスに関する処理を介して、車両の動作を制御される、人間への危害または物理的な損傷を引き起こされる、またはダッシュボードの設定を変更される可能性があります。

[アップデートする]
メーカが提供する情報をもとに、当該車両に搭載されている FCA UConnect を最新版へアップデートしてください。また、開発者はリコール (NHTSA campaign 15V461000) を発表しています。

アップデートは車両の所有者が自分で適用することが可能です。また、販売店に車両を持ち込み、無償アップデートサービスを受けることが可能です。アップデートの適用方法の詳細、また所有する車両が本脆弱性の影響を受けるか否かは、FCA のニュースリリースおよび safercar.gov のリコール情報を確認してください。

　safercar.gov リコール情報
　http://www.safercar.gov/Vehicle+Owners

Technical Service Bulletin (TSB) 08-072-15 には次の修正が含まれています。

　Technical Service Bulletin (TSB) 08-072-15
　http://wk2jeeps.com/tsb/tsb_wk2_0807215.pdf

　Improved Radio security protection to reduce the potential risk of unauthorized and unlawful access to vehicle systems (U.S. Market Only)

また、FCA は次の声明を発表しています。

　FCA US has applied network-level security measures to prevent the type of remote manipulation demonstrated in a recent media report. These measures - which required no customer or dealer actions - block remote access to certain vehicle systems and were fully tested and implemented within the cellular network on July 23, 2015.

FCA US LLC.

• FCA : FCA US LLC Releases Software Update to Improve Vehicle Electronic Security and Communications System Enhancements

1. 情報不足(CWE-noinfo) [NVD評価]

1. CVE-2015-5611

1. JVN : JVNVU#90018179
2. National Vulnerability Database (NVD) : CVE-2015-5611
3. US-CERT Vulnerability Note : VU#819439
4. ICS-CERT ADVISORY : ICSA-15-260-01
5. ICS-CERT ALERT : ICS-ALERT-15-203-01
6. 関連文書 : Hackers Remotely Kill a Jeep on the Highway?With Me in It
7. 関連文書 : NHTSA レポート (Part 573 Safety Recall Report)
8. 関連文書 : NHTSA リコールまでの経緯 (FCA US LLC Chronology Select 2013 - 2015 Vehicles RA3/4 Improved Vehicle Security Protection)
9. 関連文書 : Comprehensive Experimental Analyses of Automotive Attack Surfaces
10. 関連文書 : FCA ブログ (Unhacking the hacked Jeep SUV)
11. 関連文書 : safercar.gov のリコール情報 (Information for Owners)
12. 関連文書 : Technical Service Bulletin (TSB) 08-072-15

• [2015年07月24日]
    掲載
  [2015年07月29日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    対策：内容を更新
    参考情報：JVN (JVNVU#90018179) を追加
    参考情報：US-CERT Vulnerability Note (VU#819439) を追加
    参考情報：ICS-CERT ALERT (ICS-ALERT-15-203-01) を追加
    参考情報：関連文書 (NHTSA レポート (Part 573 Safety Recall Report) を追加
    参考情報：関連文書 (NHTSA リコールまでの経緯 (FCA US LLC Chronology Select 2013 - 2015 Vehicles RA3/4 Improved Vehicle Security Protection)) を追加
    参考情報：関連文書 (Comprehensive Experimental Analyses of Automotive Attack Surfaces) を追加
    参考情報：関連文書 (FCA ブログ (Unhacking the hacked Jeep SUV)) を追加
    参考情報：関連文書 (safercar.gov のリコール情報 (Information for Owners)) を追加
    参考情報：関連文書 (Technical Service Bulletin (TSB) 08-072-15) を追加
  [2015年09月18日]
    参考情報：ICS-CERT ADVISORY (ICSA-15-260-01) を追加