每日安全资讯:0day漏洞:黑客从宝马门户网站篡改汽车信息

20160711

今日资讯

0day漏洞:黑客从宝马门户网站篡改汽车信息

ConnectedDrive门户网站和宝马的域非常脆弱,黑客可以通过未修补漏洞进行攻击。

研究人员最近披露出影响宝马BMW的网站域和ConnectedDrive的门户网站都没有打补丁,黑客可以通过0day漏洞进行攻击。

据Vulnerability Labs的研究人员称,这两个主要的bug都和宝马在线服务网站应用ConnectedDrive有关,ConnectedDrive 集合了汽车制造商提供的新型的联网的车辆,并使它们互联。

第一个漏洞在ConnectedDrive的门户网站找到,这是一个VIN会话漏洞。 VIN码,也就是车辆识别号码,用于识别个人的车辆并将其连接到服务。该漏洞是在使用VIN的会话管理中发现的,并且远程攻击者可以利用一次实时会话绕过验证程序。

这个会话验证漏洞可以被低权限用户帐户所利用,这会导致VIN号码和配置设置被他人操纵 ——例如通过ConnectedDrive门户网站损害已注册的和有效的VIN号。

第二个漏洞研究人员发现的漏洞是一个跨站点脚本漏洞, 这是在宝马的网站域客户端的令牌token重置系统中发现的。研究人员称这一漏洞为一个“经典的”跨站脚本漏洞,因为该安全漏洞并不需要利用用户帐户权限来开发;相反地,注入该模块只需要“弱用户交互” 。

如果利用这个漏洞,攻击者可以将恶意代码注入BMW域的模块,从而可能造成会话被劫持,网络钓鱼活动,或将用户导入恶意域名。

Vulnerability Labs在今年二月率先披露德国汽车制造商的安全漏洞。宝马在四月的报告中作出回应。但是,没有证据表明这些问题已经得到修补,导致7月7日漏洞又一次被公开披露。

ZDNet已经联系到了宝马,如果我们听到什么消息后面会有更新。

来源:360安全播报 作者:AuRora17 原文链接:http://bobao.360.cn/news/detail/3267.html

漏洞关注

  1. 四川外语大学某站弱口令,66000余名学生信息
    https://www.vulbox.com/bugs/vulbox-2016-023133
  2. 云南人事考试网sql注入,涉及考生数据
    https://www.vulbox.com/bugs/vulbox-2016-023135
  3. 凤凰网某处SSRF导致命令执行可内网漫游(ROOT权限)
    http://www.wooyun.org/bugs/wooyun-2016-0227662
  4. 葫芦岛政府采购网某系统getshell泄露信息
    https://butian.360.cn/vul/info/qid/QTVA-2016-467981
  5. 甘肃省人民政府政务服务中心SQL注入,数据库用户、管理员账户、密码
    https://butian.360.cn/vul/info/qid/QTVA-2016-467633
(来源:补天、乌云、漏洞盒子,安华搜集整理)

最后编辑于:2016/7/11作者: 安华金和

安华金和

安华金和专注于数据库安全领域,由长期致力于数据库内核研发和信息安全领域的专业资深人员共同创造,是国内领先的,提供全面的数据库安全产品、服务和解决方案服务商,覆盖数据库安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据库安全防护和安全合规。