Los investigadores de ciberseguridad han descubierto un conjunto de cuatro fallas de seguridad en la pila Bluetooth de Bluesdk de OpenSynergy que, si se explotan con éxito, podría permitir la ejecución remota del código en millones de vehículos de transporte de diferentes proveedores.
Las vulnerabilidades, dobladas Azul perfectose pueden diseñar juntos como una cadena de exploit para ejecutar un código arbitrario en automóviles de al menos tres fabricantes de automóviles importantes, Mercedes-Benz, Volkswagen y Skoda, según PCA Cyber Security (anteriormente PCautomotive). Fuera de estos tres, se ha confirmado que un cuarto fabricante de equipos original no identificado (OEM) se ve afectado.
“El ataque de explotación de PerfektBlue es un conjunto de corrupción de memoria crítica y vulnerabilidades lógicas que se encuentran en OpenSynergy Bluesdk Bluetooth Stack que se puede encadenar para obtener la ejecución de código remoto (RCE)”, dijo la compañía de seguridad cibernética.
Si bien los sistemas de información y entretenimiento a menudo se consideran aislados de los controles críticos del vehículo, en la práctica, esta separación depende en gran medida de cómo cada fabricante de automóviles diseña la segmentación de red interna. En algunos casos, el aislamiento débil permite a los atacantes usar el acceso IVI como trampolín en zonas más sensibles, especialmente si el sistema carece de aplicación de la puerta de enlace o protocolos de comunicación seguros.
El único requisito para lograr el ataque es que el mal actor debe estar dentro del alcance y poder combinar su configuración con el sistema de información y entretenimiento del vehículo objetivo sobre Bluetooth. Esencialmente equivale a un ataque de un solo clic para desencadenar la explotación por aire.
“Sin embargo, esta limitación es específica de la implementación debido a la naturaleza marco de BluesDK”, agregó PCA Cyber Security. “Por lo tanto, el proceso de emparejamiento puede verse diferente entre varios dispositivos: el número limitado/ilimitado de solicitudes de emparejamiento, la presencia/ausencia de interacción del usuario o emparejamiento podría deshabilitarse por completo”.
La lista de vulnerabilidades identificadas es la siguiente.
- CVE-2024-45434 (Puntuación CVSS: 8.0)-Use-después de Servicio AVRCP
- CVE-2024-45431 (Puntuación CVSS: 3.5) – Validación inadecuada del CID remoto de un canal L2CAP
- CVE-2024-45433 (Puntuación CVSS: 5.7) – Terminación de la función incorrecta en RFCOMM
- CVE-2024-45432 (Puntuación CVSS: 5.7) – Llamada de función con un parámetro incorrecto en RFCOMM
Obtener con éxito la ejecución del código en el sistema de infoentretenimiento en el vehículo (IVI) permite a un atacante rastrear las coordenadas GPS, registrar audio, listas de contactos de acceso e incluso realizar movimiento lateral a otros sistemas y potencialmente el control de las funciones críticas de software del automóvil, como el motor.
Después de la divulgación responsable en mayo de 2024, los parches se implementaron en septiembre de 2024.
“Perfektblue permite a un atacante lograr la ejecución de código remoto en un dispositivo vulnerable”, dijo PCA Cyber Security. “Considérelo como un punto de entrada al sistema objetivo que es crítico. Hablando de vehículos, es un sistema IVI. El movimiento lateral adicional dentro de un vehículo depende de su arquitectura y podría implicar vulnerabilidades adicionales”.
A principios de abril, la compañía presentó una serie de vulnerabilidades que podrían explotarse para dividirse de forma remota en un vehículo eléctrico Nissan Leaf y tomar el control de las funciones críticas. Los hallazgos se presentaron en la conferencia Black Hat Asia celebrada en Singapur.
“Nuestro enfoque comenzó explotando las debilidades en Bluetooth para infiltrarse en la red interna, seguido de omitir el proceso de arranque seguro para aumentar el acceso”, dijo.
“Establecer un canal de comando y control (C2) sobre DNS nos permitió mantener un vínculo encubierto y persistente con el vehículo, que permite un control remoto completo. Al comprometer una CPU de comunicación independiente, podríamos interactuar directamente con el bus de lata, que gobierna elementos críticos del cuerpo, incluidos espejos, limpiadores, bloqueos de puerta e incluso la dirección”.
CAN, abreviatura de la red de área del controlador, es un protocolo de comunicación utilizado principalmente en vehículos y sistemas industriales para facilitar la comunicación entre múltiples unidades de control electrónico (ECU). Si un atacante con acceso físico al automóvil puede aprovecharlo, el escenario abre la puerta para ataques de inyección y suplantación de dispositivos de confianza.
“Un ejemplo notorio involucra un pequeño dispositivo electrónico escondido dentro de un objeto inocuo (como un altavoz portátil)”, dijo la compañía húngara. “Los ladrones enchufan este dispositivo a una unión de cableado de lata expuesta en el automóvil”.
“Una vez conectado al autobús CAN del automóvil, el dispositivo Rogue imita los mensajes de una ECU autorizada. Inunda el autobús con una explosión de mensajes de lata que declara ‘una clave válida está presente’ o instruye a acciones específicas como desbloquear las puertas”.
En un informe publicado a fines del mes pasado, Pen Test Partners reveló que convirtió un Renault Clio 2016 en un controlador de Mario Kart al interceptar los datos de Can Bus para obtener el control del automóvil y mapear su dirección, freno y acelerador a un controlador de juego con sede en Python.
Actualizar
En una declaración compartida con Hacker News, Volkswagen dijo que los problemas identificados se refieren exclusivamente a Bluetooth y que tampoco se ve afectada la seguridad del vehículo o la integridad.
“Las investigaciones revelaron que es posible bajo ciertas condiciones conectarse al sistema de información y entretenimiento del vehículo a través de Bluetooth sin autorización”, dijo la compañía.
“Las intervenciones en las funciones del vehículo más allá del sistema de infoentretenimiento no son posibles, por ejemplo, no hay intervenciones de dirección, no hay intervenciones en los sistemas de asistencia del conductor, o las funciones de motor o frenos. Estas se encuentran en el vehículo en una unidad de control diferente, que está protegida contra la interferencia externa de sus propias funciones de seguridad. Tampoco hay indicaciones de explotación maliciosa en los vehículos en el campo”.
También señaló que la explotación de las vulnerabilidades solo es posible cuando varias condiciones se cumplen simultáneamente,
- El atacante está a una distancia máxima de 5 a 7 metros del vehículo
- El encendido del vehículo debe encenderse
- El sistema de información y entretenimiento debe estar en modo de emparejamiento, es decir, el usuario del vehículo debe estar emparejando activamente un dispositivo Bluetooth, y
- El usuario del vehículo debe aprobar activamente el acceso Bluetooth externo del atacante en la pantalla
Incluso en escenarios en los que un actor de amenaza puede cumplir con los criterios antes mencionados y obtener acceso a la interfaz Bluetooth, debe permanecer dentro de una distancia máxima de 5 a 7 metros del vehículo para acceder a las funciones de audio descritas del vehículo.
Como medida de precaución, los usuarios de vehículos pueden salvaguardar contra estos ataques verificando los datos de emparejamiento durante el proceso de conexión y garantizar que los números coincidan con los que se muestran en su propio dispositivo.
“Volkswagen está abordando la brecha de seguridad con las actualizaciones de software, por lo que los usuarios de vehículos definitivamente deben realizar las actualizaciones de software ofrecidas”, agregó el portavoz. “En algunos casos, una visita al taller también puede ser necesaria”.
(La historia se actualizó después de la publicación para incluir una respuesta de Volkswagen).
