Esta vulnerabilidad fue revelada por expertos en seguridad cibernetica de Kaspersky en la tarde del 12 de noviembre despues de una evaluacion de seguridad. Al explotar la vulnerabilidad de dia cero en una aplicacion publica de una unidad contratista asociada el atacante puede tomar completamente el control del sistema telematico (sistema de recopilacion y procesamiento de datos de vehiculos) del vehiculo.
Este acto de ataque amenaza directamente la seguridad de los conductores y pasajeros. Por ejemplo el atacante puede obligar al coche a cambiar de marcha o apagar el motor mientras se mueve.
Riesgos existentes
La evaluacion de seguridad se realizo de forma remota centrandose en los servicios publicos del fabricante y la infraestructura del contratista. Kaspersky identifico algunos puertos de acceso en linea de la empresa que se filtraron accidentalmente en Internet sin una capa de seguridad completa.
Primero a traves de una vulnerabilidad de tipo zero-day insertando malware en el comando SQL para acceder ilegalmente a los datos en la aplicacion wiki los expertos extrajeron una lista de usuarios del contratista junto con contraseñas hash (una version binaria de la contraseña y no se puede leer directamente).
Debido a una politica de seguridad debil algunos contraseñas hashs han sido descifrados con exito allanando el camino para una intrusion mas profunda en el sistema de seguimiento de incidentes del contratista (Este sistema de seguimiento se utiliza para gestionar y rastrear tareas fallos o incidentes en el proyecto).
En particular este sistema contiene detalles de configuracion sensibles sobre la infraestructura telematica del fabricante incluido un archivo que contiene la contraseña del usuario en uno de los servidores telematicos de la empresa.
Para el sistema de vehiculos conectados Kaspersky descubrio que el tuong lua estaba configurado incorrectamente revelando algunos servidores internos.
Mas alarmante aun el equipo de expertos tambien descubrio un comando de actualizacion de firmware que permite descargar la version modificada del firmware al controlador telematico del coche. Esto significa que pueden acceder a la red de comunicacion interna del coche el sistema responsable de conectar y coordinar las operaciones entre las partes del coche como el motor y los sensores.
Despues de tener acceso a esta red los expertos pueden afectar muchas funciones importantes del coche como controlar el motor o la caja de cambios. En situaciones reales si se explotan estas lagunas pueden amenazar directamente la seguridad del conductor y los pasajeros.
Recomendacion
Kaspersky recomienda a los contratistas y socios tecnologicos en el sector automotriz que:
- Limitar el acceso a Internet a los servicios web a traves de VPN aislar los servicios de la red interna de la empresa.
- Dividir los servicios web por separado para no estar relacionados con la red interna de la empresa.
- Implementacion estricta de la politica de contraseñas
- Activar la autenticacion de dos factores (2FA)
- Encriptacion de datos sensibles
Integrar un sistema de registro de registros (logging) con la plataforma SIEM para rastrear y detectar incidentes en tiempo real. SIEM es un sistema de gestion de eventos e informacion de seguridad que ayuda a detectar tempranamente comportamientos anormales o ciberataques.
Para los fabricantes de automoviles los expertos en seguridad cibernetica recomiendan limitar el acceso a la plataforma telematica desde la red de conexion del automovil permitiendo solo las conexiones de red en la lista permitida desactivando el mecanismo de inicio de sesion a traves de la contraseña SSH operando los servicios con los derechos minimos necesarios garantizando la autenticidad de los comandos de control enviados al TCU (sistema de control telematico del automovil) y integrando la plataforma SIEM.
