| 概要 | Unspecified vulnerability in Uconnect before 15.26.1, as used in certain Fiat Chrysler Automobiles (FCA) from 2013 to 2015 models, allows remote attackers in the same cellular network to control vehicle movement, cause human harm or physical damage, or modify dashboard settings via vectors related to modification of entertainment-system firmware and access of the CAN bus due to insufficient "Radio security protection," as demonstrated on a 2014 Jeep Cherokee Limited FWD. |
|---|---|
| 公表日 | 2015年7月22日6:05 |
| 登録日 | 2021年1月26日14:53 |
| 最終更新日 | 2024年11月21日11:33 |
| CVSS2.0 : HIGH | |
| スコア | 8.3 |
|---|---|
| ベクター | AV:A/AC:L/Au:N/C:C/I:C/A:C |
| 攻撃元区分(AV) | 隣接 |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | いいえ |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:fca:uconnect:*:*:*:*:*:*:*:* | 15.26.1 | ||||
| タイトル | Fiat Chrysler Automobiles で使用される Uconnect における車両の動作を制御される脆弱性 |
|---|---|
| 概要 | Fiat Chrysler Automobiles (FCA) で使用される Uconnect には、車両の動作を制御される、人間への危害または物理的な損傷を引き起こされる、またはダッシュボードの設定を変更される脆弱性が存在します。 本脆弱性は、2014 Jeep Cherokee Limited FWD において実証されました。 |
| 想定される影響 | 同一のセルラーネットワークを使用する第三者により、エンターテインメントシステムのファームウェアの変更、および不十分な "無線セキュリティ保護 (Radio security protection)" による CAN (Controller Area Network) バスへのアクセスに関する処理を介して、車両の動作を制御される、人間への危害または物理的な損傷を引き起こされる、またはダッシュボードの設定を変更される可能性があります。 |
| 対策 | [アップデートする] メーカが提供する情報をもとに、当該車両に搭載されている FCA UConnect を最新版へアップデートしてください。また、開発者はリコール (NHTSA campaign 15V461000) を発表しています。 アップデートは車両の所有者が自分で適用することが可能です。また、販売店に車両を持ち込み、無償アップデートサービスを受けることが可能です。アップデートの適用方法の詳細、また所有する車両が本脆弱性の影響を受けるか否かは、FCA のニュースリリースおよび safercar.gov のリコール情報を確認してください。 safercar.gov リコール情報 http://www.safercar.gov/Vehicle+Owners Technical Service Bulletin (TSB) 08-072-15 には次の修正が含まれています。 Technical Service Bulletin (TSB) 08-072-15 http://wk2jeeps.com/tsb/tsb_wk2_0807215.pdf Improved Radio security protection to reduce the potential risk of unauthorized and unlawful access to vehicle systems (U.S. Market Only) また、FCA は次の声明を発表しています。 FCA US has applied network-level security measures to prevent the type of remote manipulation demonstrated in a recent media report. These measures - which required no customer or dealer actions - block remote access to certain vehicle systems and were fully tested and implemented within the cellular network on July 23, 2015. |
| 公表日 | 2015年7月21日0:00 |
| 登録日 | 2015年7月24日14:05 |
| 最終更新日 | 2015年9月18日18:00 |
| FCA US LLC. |
| Uconnect 15.17.5 より前のバージョン (2015年モデルの車両に搭載) |
| Uconnect 15.26.1 より前のバージョン (2013年、2014年モデルの車両に搭載) |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2015年07月24日] 掲載 [2015年07月29日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 対策:内容を更新 参考情報:JVN (JVNVU#90018179) を追加 参考情報:US-CERT Vulnerability Note (VU#819439) を追加 参考情報:ICS-CERT ALERT (ICS-ALERT-15-203-01) を追加 参考情報:関連文書 (NHTSA レポート (Part 573 Safety Recall Report) を追加 参考情報:関連文書 (NHTSA リコールまでの経緯 (FCA US LLC Chronology Select 2013 - 2015 Vehicles RA3/4 Improved Vehicle Security Protection)) を追加 参考情報:関連文書 (Comprehensive Experimental Analyses of Automotive Attack Surfaces) を追加 参考情報:関連文書 (FCA ブログ (Unhacking the hacked Jeep SUV)) を追加 参考情報:関連文書 (safercar.gov のリコール情報 (Information for Owners)) を追加 参考情報:関連文書 (Technical Service Bulletin (TSB) 08-072-15) を追加 [2015年09月18日] 参考情報:ICS-CERT ADVISORY (ICSA-15-260-01) を追加 |
2018年2月17日10:37 |