当地时间3月22至24日，2023年度温哥华Pwn2Own黑客大赛圆满举行。本次大赛中，研究人员围绕VMware和Oracle Virtual Box等虚拟化技术、Chrome浏览器、Adobe Reader和Microsoft Office 365 Pro Plus等企业应用程序以及服务器技术例如Microsoft Windows RDP/RDS、Microsoft Exchange、Microsoft DNS和Microsoft SharePoint，以及特斯拉Model 3和特斯拉Model S为目标展开漏洞挖掘和利用展示。

本届三天的比赛，参赛者披露了27个独特的零日漏洞，并赢得了总计1,035,000美元（和一辆汽车）的奖励。来自法国的黑客团队Synacktiv的研究人员拔得头筹，他们获得了53个积分和53万美元奖金和一辆特斯拉Model 3。该团队展示了一对针对特斯拉最新电动汽车的成功漏洞利用链，在两分钟内攻陷特斯拉Model 3，再次引起广泛关注。

Synacktiv团队：Eloi Benoist-Vanderbeken、David Berard、Vincent Dehors、Tanguy Dubroca、Thomas Bouzerar和Thomas Imbert

到目前为止，该项赛事已举办16年，研究人员已经在一系列技术中发现了530个关键漏洞，并收获了约1120万美元的奖金。

特斯拉汽车成焦点

在第一天的比赛中，Synacktiv团队利用一项涉及到特斯拉的网关（Tesla – Gateway）能源管理系统执行所谓的检查时间到使用时间 (TOCTTOU，time-of-check to time-of-use) 的漏洞攻击，成功在汽车行驶时打开特斯拉 Model 3的前备箱或车门。这项不到两分钟的攻击演示让研究人员获得了一辆新的特斯拉 Model 3和100,000美元的现金奖励。这表明Tesla Model 3网关已从以太网网络完全被攻破。

而只是特斯拉汽车漏洞挖掘的开始！

在第二天比赛中，Synacktiv研究人员利用蓝牙芯片组中的堆溢出和越界写入漏洞利用链侵入特斯拉的信息娱乐系统，并从那里获得对其他子系统的Root访问权限。该漏洞利用为研究人员赢得了250,000美元的更大赏金和Pwn2Own有史以来的第一个2级奖项——竞赛组织者为特别有影响力的漏洞和漏洞利用保留的名称。

这不是特斯拉第一次试图在 Pwn2Own吸引高级漏洞利用黑客的注意力。早在2019年，该公司就向两名展示成功攻击的研究人员赠送了一辆特斯拉Model 3。今年，组织者有意提高构成成功汽车黑客攻击的复杂程度。希望吸引针对特斯拉调谐器、Wi-Fi、蓝牙或调制解调器组件的攻击。

对智能网联汽车的漏洞及其攻击利用案例，近年来并不鲜见于网络安全媒体的头条，而且有愈演愈烈之势。见网空头话公众号如下文章：

本田汽车网络安全再引关注-重放攻击漏洞可让黑客击解锁并启动汽车

利用零点击漏洞对特斯拉汽车进行攻击

联网汽车的5种威胁向量及应对思路

几点启示

1、车载娱乐系统成为智能联网汽车的最危险攻击入口

本次温哥华黑客大赛中Synacktiv团队通过两个漏洞利用控制了特斯拉汽车的信息娱乐系统，这为攻击者打通其它功能域如导航系统、控制系统提供了可能。比如攻击者可能通过车载娱乐系统的WIFI热点直接建立与娱乐域的网络连接，如娱乐域中的其他设备存在漏洞，则黑客可能通过利用这些漏洞建立对某些部件的控制权并尝试进入到车辆其他部分的网络中。此前曾有案例证实黑客可以通过车载娱乐系统的浏览器访问一个恶意网页，利用浏览器漏洞控制了车载娱乐系统，并进而控制整车。

2、漏洞利用链突显攻击技术、手段的复杂化

漏洞利用链攻击的目标是获得内核/根/系统级别的访问权限来攻陷系统以实施恶意活动。漏洞利用链使得攻击者绕过众多防御机制来快速提权，从而隐藏于目标网络之中。为Synacktiv团队赢取大奖的成果，就是他们创建了一个两个漏洞的利用链，该利用链使用堆溢出和带外(OOB)写入漏洞来弹出Tesla-Infotainment系统。该团队还展示了一个针对Oracle VirtualBox的3漏洞利用链的成果。另外一个名为Haboob SA (@HaboobSa )的团队使用6个逻辑漏洞链完成了对Adob e Reader的攻击，该逻辑链利用了多个失败的补丁，这些补丁绕过了沙箱以及被禁止的API列表。与专注于单一入口点或利用单个漏洞相比，使用多个漏洞来攻击设备或系统，让防御者面临更多挑战，攻击面管理和漏洞管理紧迫性加剧。

3、车载娱乐系统成为智能汽车网络攻击突破口的问题具有普遍性

目前数字化、智能化深入生活的方方页面，连接泛在同步伴随的是网络攻击泛化。汽车、火车、地铁、轮船、飞机上均部署了乘客娱乐系统，有的甚至提供乘客WIFI接入，这为恶意行为者大开了方便之门。特斯拉汽车的攻击场景完全可能在其它交通工具场景中再现。美国FBI早些年披露的一起案例显示，名为克里斯·罗伯茨(Chris Roberts)的网络安全专家在2011年至2014年间的某个时候，“扭动并挤压”了他前面座位地板上的机上娱乐（IFE）电子盒以取下盖子，将笔记本电脑用电缆连接到内部电子设备，然后“重写飞机的推力管理计算机上的代码”。FBI报告说罗伯茨向其中一台发动机发出了爬升指令，导致飞机“以横向或侧向运动”飞行。可见，通过机上娱乐系统进入飞机的飞行交通管理系统、飞机信息管理系统，并非耸人听闻。加强智能化交通工具中此类非功能性系统的研发、准入、售后服务三方面监管该不容缓。全流程研发过程监管，杜绝产生漏洞。部署时落实准入控制，检测查验可能存在的漏洞。部署之后，加强应急响应服务能力，及时修复新发现的漏洞。

航空网络安全--如何黑掉波音747机上娱乐系统？（网空头话公众号文章）

参考资源

1、https://www.darkreading.com/vulnerabilities-threats/tesla-model-3-hacked-2-minutes-pwn2own-contest

2、https://www.zerodayinitiative.com/blog/2023/3/23/pwn2own-vancouver-2023-day-two-results

3、https://www.trendmicro.com/en_us/research/23/c/pwn2own-vancouver-2023.html