Los investigadores de ciberseguridad han descubierto un conjunto de cuatro fallas de seguridad en la pila Bluetooth de Bluesdk de OpenSynergy que, si se explotan con éxito, podría permitir la ejecución remota del código en millones de vehículos de transporte de diferentes proveedores.
Las vulnerabilidades, dobladas Azul perfectose pueden diseñar juntos como una cadena de exploit para ejecutar un código arbitrario en automóviles de al menos tres fabricantes de automóviles importantes, Mercedes-Benz, Volkswagen y Skoda, según PCA Cyber Security (anteriormente PCautomotive). Fuera de estos tres, se ha confirmado que un cuarto fabricante de equipos original no identificado (OEM) se ve afectado.
«El ataque de explotación de PerfektBlue es un conjunto de corrupción de memoria crítica y vulnerabilidades lógicas que se encuentran en OpenSynergy Bluesdk Bluetooth Stack que se puede encadenar para obtener la ejecución de código remoto (RCE)», dijo la compañía de seguridad cibernética.
Si bien los sistemas de información y entretenimiento a menudo se consideran aislados de los controles críticos del vehículo, en la práctica, esta separación depende en gran medida de cómo cada fabricante de automóviles diseña la segmentación de red interna. En algunos casos, el aislamiento débil permite a los atacantes usar el acceso IVI como trampolín en zonas más sensibles, especialmente si el sistema carece de aplicación de la puerta de enlace o protocolos de comunicación seguros.
El único requisito para lograr el ataque es que el mal actor debe estar dentro del alcance y poder combinar su configuración con el sistema de información y entretenimiento del vehículo objetivo sobre Bluetooth. Esencialmente equivale a un ataque de un solo clic para desencadenar la explotación por aire.
«Sin embargo, esta limitación es específica de la implementación debido a la naturaleza marco de BluesDK», agregó PCA Cyber Security. «Por lo tanto, el proceso de emparejamiento puede verse diferente entre varios dispositivos: el número limitado/ilimitado de solicitudes de emparejamiento, la presencia/ausencia de interacción del usuario o emparejamiento podría deshabilitarse por completo».
La lista de vulnerabilidades identificadas es la siguiente.
- CVE-2024-45434 (Puntuación CVSS: 8.0)-Use-después de Servicio AVRCP
- CVE-2024-45431 (Puntuación CVSS: 3.5) – Validación inadecuada del CID remoto de un canal L2CAP
- CVE-2024-45433 (Puntuación CVSS: 5.7) – Terminación de la función incorrecta en RFCOMM
- CVE-2024-45432 (Puntuación CVSS: 5.7) – Llamada de función con un parámetro incorrecto en RFCOMM
Obtener con éxito la ejecución del código en el sistema de infoentretenimiento en el vehículo (IVI) permite a un atacante rastrear las coordenadas GPS, registrar audio, listas de contactos de acceso e incluso realizar movimiento lateral a otros sistemas y potencialmente el control de las funciones críticas de software del automóvil, como el motor.
Después de la divulgación responsable en mayo de 2024, los parches se implementaron en septiembre de 2024.
«Perfektblue permite a un atacante lograr la ejecución de código remoto en un dispositivo vulnerable», dijo PCA Cyber Security. «Considérelo como un punto de entrada al sistema objetivo que es crítico. Hablando de vehículos, es un sistema IVI. El movimiento lateral adicional dentro de un vehículo depende de su arquitectura y podría implicar vulnerabilidades adicionales».
A principios de abril, la compañía presentó una serie de vulnerabilidades que podrían explotarse para dividirse de forma remota en un vehículo eléctrico Nissan Leaf y tomar el control de las funciones críticas. Los hallazgos se presentaron en la conferencia Black Hat Asia celebrada en Singapur.
«Nuestro enfoque comenzó explotando las debilidades en Bluetooth para infiltrarse en la red interna, seguido de omitir el proceso de arranque seguro para aumentar el acceso», dijo.
«Establecer un canal de comando y control (C2) sobre DNS nos permitió mantener un vínculo encubierto y persistente con el vehículo, que permite un control remoto completo. Al comprometer una CPU de comunicación independiente, podríamos interactuar directamente con el bus de lata, que gobierna elementos críticos del cuerpo, incluidos espejos, limpiadores, bloqueos de puerta e incluso la dirección».
CAN, abreviatura de la red de área del controlador, es un protocolo de comunicación utilizado principalmente en vehículos y sistemas industriales para facilitar la comunicación entre múltiples unidades de control electrónico (ECU). Si un atacante con acceso físico al automóvil puede aprovecharlo, el escenario abre la puerta para ataques de inyección y suplantación de dispositivos de confianza.
«Un ejemplo notorio involucra un pequeño dispositivo electrónico escondido dentro de un objeto inocuo (como un altavoz portátil)», dijo la compañía húngara. «Los ladrones enchufan este dispositivo a una unión de cableado de lata expuesta en el automóvil».
«Una vez conectado al autobús CAN del automóvil, el dispositivo Rogue imita los mensajes de una ECU autorizada. Inunda el autobús con una explosión de mensajes de lata que declara ‘una clave válida está presente’ o instruye a acciones específicas como desbloquear las puertas».
En un informe publicado a fines del mes pasado, Pen Test Partners reveló que convirtió un Renault Clio 2016 en un controlador de Mario Kart al interceptar los datos de Can Bus para obtener el control del automóvil y mapear su dirección, freno y acelerador a un controlador de juego con sede en Python.