高危漏洞占比超六成:汽车供应链成网络攻击“重灾区”
Upstream年度报告是追踪汽车网络安全趋势的优质信息来源。《2025年Upstream全球汽车网络安全报告》为该系列第七版,包含160页数据及信息来源引用。Upstream拥有庞大且持续扩展的网络安全数据库,每月监测超3,000万个资产并追踪400亿条API(应用程序编程接口)消息,同时已记录超1,000亿车辆行驶里程。近期,Upstream已对1,130多个活跃网络威胁行为者进行特征分析。
自2010年以来,Upstream已追踪到1,877起汽车相关网络安全事件。2024年,Upstream分析发现409起新公开披露的网络安全事件,较2023年的295起有所上升。
汽车网络安全仍将是汽车行业面临的最严峻挑战,即便投入大量资源开发并部署全面解决方案,其防护难度仍居高不下。伴随软件定义汽车(SDV)风险的新漏洞及通信技术发展,新型网络安全攻击模式正在不断涌现。网络安全技术、产品及服务需持续迭代升级,法规标准体系也需定期更新完善,同时需对新兴及现有网络威胁实施实时动态监测。
常见漏洞和风险数量增长
常见漏洞与风险(CVE)是衡量网络攻击可能得逞的弱点指标。CVSS(通用漏洞评分系统)是一种开放标准化的方法,用于评估CVE的严重性。CVSS帮助组织根据漏洞的严重程度、引入时间及环境属性,优先协调联合响应措施。基于CVSS评分,漏洞从高到低分为严重、高、中、低或无四个等级。
图1展示了过去六年汽车相关CVE数量的增长趋势——从2019年新增24个CVE增长至2024年新增422个。累计CVE数量从2019年的24个激增至2024年的1,147个。2024年新增CVE占CVE总数的37%。
图1:汽车常见漏洞与风险增长 制表:Egil Juliussen, 2025年4月 数据来源:Upstream Security 2025年网络安全报告,2025年2月
Upstream仅关注直接影响汽车及智能出行生态系统的CVE(如主机厂、一级供应商、共享出行、移动物联网设备和车队)。Upstream排除了与供应链中可能使用的通用IT硬件或开源软件组件相关的CVE。
Upstream追踪每个漏洞的来源及严重性。图2展示了2024年422个新增漏洞的来源分布与严重程度。图2左侧饼图呈现了2024年引入这422个网络安全漏洞的五大企业类别,包括汽车主机厂(OEM)、一级供应商(Tier1)、二级供应商(Tier2)、电动汽车供应设备公司(EVES)及其他企业。
图2:汽车常见漏洞和披露(CVE)的来源和严重性 制图:Egil Juliussen,2025年4月 数据来源:Upstream 2025网络安全报告,2025年2月
2024年新增漏洞的CVE严重性等级如图2右侧饼图所示,分为四个级别。2024年,关键和高危漏洞占CVE总数的61%以上。
汽车行业网络安全事件趋势
网络安全事件在汽车行业持续增长。随着受网络攻击影响的车辆数量及相关出行服务范围扩大,网络攻击的影响呈上升趋势。
Upstream根据潜在影响规模对2021-2024年间公开披露的汽车网络安全事件进行了分析,影响范围涵盖车辆、用户、移动设备等。Upstream将事件按影响程度分为四个等级:
- 低影响:可能影响10个以下资产的事件;
- 中等影响:影响最多1,000辆车辆或移动资产的事件;
- 高影响:影响数千辆车辆或移动资产的事件;
- 大规模影响:可能影响数百万移动资产的事件。
表1基于四个影响等级汇总了Upstream对2021-2024年趋势的分析。首行列出了每年分析的事件数量。
表1:按潜在规模划分的已公开网络安全事件
2021年和2022年,高影响或大规模事件占网络安全攻击总数的20%-22%。到2023年,高影响或大规模事件的占比翻倍至近50%,2024年达到60%。这种向大规模攻击的转变对遭受网络攻击的车辆数量和移动资产规模产生了重大影响。
目前,大规模影响类别具有最多的潜在攻击次数,基于四个类别的加权平均值,其占比远超95%。在409起攻击中,大规模攻击占19%(77起潜在攻击)。按每起攻击可能影响100万资产计算,这总计至少达7,700万资产。其他三个类别的潜在影响资产总数约为100万左右。
图3展示了汽车相关网络事件类型的分布情况。横向柱状图显示了2024年各类型事件占网络事件总量的比例。由于部分事件具有多重影响,各类型百分比总和可能超过100%。
数据隐私泄露是最大的类别,占所有事件的60%。此类数据的吸引力源于车辆及移动系统中存储的信用卡及相关数据日益普及。服务业务中断是第二大事件类别(占53%),这显然与勒索软件的增长直接相关。
图3:2024年汽车网络安全事件类型统计(共计409起) 制表:Egil Juliussen, 2025年4月 数据来源:Upstream Security 2025年网络安全报告,2025年2月
汽车系统操纵及车辆控制是第三大类别,占2024年事件的35%,较2022年的5%大幅增长。Upstream数据显示,欺诈相关事件在2023年和2024年占比相似(19%-20%),此前该比例从2022年的4%激增。暗网上最热门的欺诈信息之一是里程调校(正式名称为里程表欺诈)。根据NHTSA数据,美国每年有超45万辆汽车以虚假里程表读数售出,导致消费者损失超10亿美元。
勒索软件攻击事件不断增多
勒索软件攻击正成为汽车行业及其他行业的一大问题。2024年共发生409起网络安全事件,其中108起(占26%)属于勒索软件类别。大部分勒索软件相关知识源自暗网和深网。恶意攻击者越来越多地针对汽车和出行行业实体(包括原始设备制造商、供应商和电动汽车充电基础设施)发起勒索软件攻击。供应链的所有环节均对原始设备制造商、服务提供商以及出行设备和应用程序构成风险。勒索软件攻击可能严重影响运营可用性和生产,或泄露敏感客户信息及系统凭证。为勒索钱财,攻击者通常在暗网上运营“泄露网站”,用于公开被盗数据并分享与攻击及受害者相关的信息。2024年,多起汽车经销商勒索软件事件使勒索软件攻击和泄露网站成为重大新闻。
例如,2024年10月,一家知名经销商沦为俄罗斯勒索软件团伙的攻击目标。攻击者采用双重勒索策略,窃取了发票、会计记录、个人信息、雇佣合同、认证文件及内部文件等敏感企业数据。赎金支付期限过后,该团伙通过暗网平台公开被盗数据,进一步升级攻击。其他勒索软件事件信息可通过简单的互联网搜索获取。
网络攻击载体的多样性
2024年的网络攻击较往年更为复杂频繁,攻击目标涵盖车辆、后台系统,以及智能出行平台、设备和应用程序。攻击载体表明,任何连接节点都可能遭受网络攻击。图4展示了攻击手段的多样性。
图4:汽车网络安全攻击向量的多样性(2024年按攻击向量统计的事件) 制表:Egil Juliussen, 2025年2月 数据来源:Upstream Security 2025年网络安全报告,2025年4月
基于云的系统(如远程信息处理和应用服务器)遭遇网络攻击事件大幅增加。服务器相关事件占比从2022年的35%、2023年的43%上升至2024年的66%。攻击者可能通过利用后端服务器漏洞,在车辆行驶时发起攻击。
网联汽车与智能出行服务使用大量内外部API,每月处理数十亿次交互。OTA(空中下载技术)与远程信息处理服务器、主机厂移动应用、车载信息娱乐系统、出行物联网设备、电动汽车充电管理及计费应用均高度依赖API。API也构成了广泛且大规模的潜在攻击面,导致包括个人信息窃取、后端系统操控或远程车辆控制在内的多种网络攻击。
API攻击具有高成本效益,可实现大规模攻击。其技术要求相对较低,使用标准技术,且无需特殊硬件即可远程实施,这使其持续增长。API攻击占比从2023年的13%上升至2024年的17%。
车载信息娱乐相关事件在2023年从2022年的8%大幅增长至15%,但在2024年略有下降。电子控制单元(ECU)负责引擎、转向、制动、车窗、无钥匙进入及多种关键系统。黑客试图通过同时运行多个复杂系统来操控ECU并控制其功能。ECU网络攻击事件占比为8%,较2023年的9%略有下降。
安全的充电基础设施对电动汽车普及至关重要。当前许多充电桩、充电基础设施系统及相关应用存在物理和远程操控漏洞,使电动汽车用户面临欺诈与勒索攻击风险,同时也影响充电网络可靠性。电动汽车充电网络攻击占比从2023年的4%上升至2024年的6%。
摘要与展望
汽车网络安全攻击已发展为多维度增长的产业,涵盖漏洞数量、攻击者规模、攻击复杂程度提升以及汽车网络安全行业参与者的应对措施等多个层面。根据Upstream数据收集与分析,图5总结了汽车网络安全事件年度及累计增长趋势。
图5左边柱状图显示年度汽车网络安全事件从2017年的57起增长至2024年的409起。右边柱状图展示累计网络攻击数量,从2017年的不足180起攀升至2024年底的近1,900起,增幅超过十倍。
图5:汽车网络安全事件增长 制表:Egil Juliussen, 2025年4月 数据来源:Upstream Security 2025年网络安全报告,2025年2月
多项技术趋势正产生重大影响——软件定义车辆(SDV)新增大量软件代码,这些代码将在API和云服务器领域带来相应漏洞。人工智能(AI)技术正成为影响网络安全攻击的关键因素,同时也被用于发现、分析并抵御海量复杂攻击向量。
深网与暗网信息及工具的影响在2024年显著增强,勒索软件攻击数量增至108起,占409起总事件的26%。
网络安全攻击向量持续多样化。远程信息处理、网联汽车应用及出行应用的众多后端服务器已成为最大攻击向量,2024年占比达66%(2023年为43%)。
API是漏洞增长的重要因素,其用于不同软件平台、应用程序及所有软件相关系统间的通信。基于API的通信每月使用次数达数十亿次,即使漏洞比例极低也可能迅速引发重大问题。
勒索软件攻击是主要网络安全威胁,2024年对汽车行业造成重创。少数成功的攻击即可导致数千万美元损失。Upstream报告总结了这些成功攻击案例。
Upstream分析表明,汽车行业网络防御能力与新兴网络攻击能力之间的差距正在扩大。这种差距部分源于当前基于UNECE WP.29和ISO/SAE 21434的法规部署成效,但Upstream认为这些法规营造了虚假的安全感。汽车行业需重点实时监控远程信息处理及其他云服务器,以及海量API相关通信消息,因未来挑战多集中于这两大领域。该评估值得行业参考。
本文翻译自国际电子商情姊妹平台EETimes Europe,原文标题:
