JVNDB-2015-003899
|
Fiat Chrysler Automobiles で使用される Uconnect における車両の動作を制御される脆弱性
|
Fiat Chrysler Automobiles (FCA) で使用される Uconnect には、車両の動作を制御される、人間への危害または物理的な損傷を引き起こされる、またはダッシュボードの設定を変更される脆弱性が存在します。
本脆弱性は、2014 Jeep Cherokee Limited FWD において実証されました。
|
CVSS v2 による深刻度 基本値: 8.3 (危険) [NVD値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
FCA US LLC.
- Uconnect 15.26.1 より前のバージョン (2013年、2014年モデルの車両に搭載)
- Uconnect 15.17.5 より前のバージョン (2015年モデルの車両に搭載)
|
FCA と National Highway and Trasportation Safety Administration (NHTSA) は、影響を受ける可能性のあるすべてのモデルを対象に、リコール (NHTSA campaign 15V461000, "Radio Software Security Vulnerabilities") を発表しています。リコール対象は次のモデルです。
* 2013-2015 Ram 1500 Pickup
* 2013-2015 Ram 3500 Cab Chassis
* 2013-2015 Ram 2500 Pickup
* 2013-2015 Ram 3500 Pickup
* 2013-2015 Ram 4500/5500 Cab Chassis
* 2013-2015 Dodge Viper
* 2014-2015 Jeep Cherokee
* 2014-2015 Jeep Grand Cherokee
* 2014-2015 Dodge Durango
* 2015 Chrysler 200s
* 2015 Chrysler 300s
* 2015 Dodge Challenger
* 2015 Dodge Charger
詳細は、NHTSA の レポート と リコールまでの経緯 を参照ください。
|
同一のセルラーネットワークを使用する第三者により、エンターテインメントシステムのファームウェアの変更、および不十分な "無線セキュリティ保護 (Radio security protection)" による CAN (Controller Area Network) バスへのアクセスに関する処理を介して、車両の動作を制御される、人間への危害または物理的な損傷を引き起こされる、またはダッシュボードの設定を変更される可能性があります。
|
[アップデートする]
メーカが提供する情報をもとに、当該車両に搭載されている FCA UConnect を最新版へアップデートしてください。また、開発者はリコール (NHTSA campaign 15V461000) を発表しています。
アップデートは車両の所有者が自分で適用することが可能です。また、販売店に車両を持ち込み、無償アップデートサービスを受けることが可能です。アップデートの適用方法の詳細、また所有する車両が本脆弱性の影響を受けるか否かは、FCA のニュースリリースおよび safercar.gov のリコール情報を確認してください。
safercar.gov リコール情報
http://www.safercar.gov/Vehicle+Owners
Technical Service Bulletin (TSB) 08-072-15 には次の修正が含まれています。
Technical Service Bulletin (TSB) 08-072-15
http://wk2jeeps.com/tsb/tsb_wk2_0807215.pdf
Improved Radio security protection to reduce the potential risk of unauthorized and unlawful access to vehicle systems (U.S. Market Only)
また、FCA は次の声明を発表しています。
FCA US has applied network-level security measures to prevent the type of remote manipulation demonstrated in a recent media report. These measures - which required no customer or dealer actions - block remote access to certain vehicle systems and were fully tested and implemented within the cellular network on July 23, 2015.
|
FCA US LLC.
|
- 情報不足(CWE-noinfo) [NVD評価]
|
- CVE-2015-5611
|
- JVN : JVNVU#90018179
- National Vulnerability Database (NVD) : CVE-2015-5611
- US-CERT Vulnerability Note : VU#819439
- ICS-CERT ADVISORY : ICSA-15-260-01
- ICS-CERT ALERT : ICS-ALERT-15-203-01
- 関連文書 : Hackers Remotely Kill a Jeep on the Highway?With Me in It
- 関連文書 : NHTSA レポート (Part 573 Safety Recall Report)
- 関連文書 : NHTSA リコールまでの経緯 (FCA US LLC Chronology Select 2013 - 2015 Vehicles RA3/4 Improved Vehicle Security Protection)
- 関連文書 : Comprehensive Experimental Analyses of Automotive Attack Surfaces
- 関連文書 : FCA ブログ (Unhacking the hacked Jeep SUV)
- 関連文書 : safercar.gov のリコール情報 (Information for Owners)
- 関連文書 : Technical Service Bulletin (TSB) 08-072-15
|
- [2015年07月24日]
掲載
[2015年07月29日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
対策:内容を更新
参考情報:JVN (JVNVU#90018179) を追加
参考情報:US-CERT Vulnerability Note (VU#819439) を追加
参考情報:ICS-CERT ALERT (ICS-ALERT-15-203-01) を追加
参考情報:関連文書 (NHTSA レポート (Part 573 Safety Recall Report) を追加
参考情報:関連文書 (NHTSA リコールまでの経緯 (FCA US LLC Chronology Select 2013 - 2015 Vehicles RA3/4 Improved Vehicle Security Protection)) を追加
参考情報:関連文書 (Comprehensive Experimental Analyses of Automotive Attack Surfaces) を追加
参考情報:関連文書 (FCA ブログ (Unhacking the hacked Jeep SUV)) を追加
参考情報:関連文書 (safercar.gov のリコール情報 (Information for Owners)) を追加
参考情報:関連文書 (Technical Service Bulletin (TSB) 08-072-15) を追加
[2015年09月18日]
参考情報:ICS-CERT ADVISORY (ICSA-15-260-01) を追加
|