Múltiples errores que afectan a millones de vehículos de casi todas las principales marcas de automóviles podrían permitir que los delincuentes realicen cualquier tipo de travesura, en algunos casos, incluidas adquisiciones completas, al explotar las vulnerabilidades en los sistemas telemáticos de los vehículos, las API automotrices y la infraestructura de apoyo, según los investigadores de seguridad.
En concreto, las vulnerabilidades afectan a Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar y Land Rover, además de la empresa de gestión de flotas Spireon y la empresa de matrículas digitales Reviver.
La investigación se basa en las expediciones anteriores de piratería de automóviles de Sam Curry de Yuga Labs que descubrieron fallas que afectan a los vehículos Hyundai y Genesis , así como a los Honda, Nissan, Infinitis y Acura a través de una falla de autorización en los servicios de vehículos conectados de Sirius XM .
Todos los errores se han solucionado desde entonces.
"Todas las empresas afectadas solucionaron los problemas uno o dos días después de la presentación de informes", dijo Curry a The Register . "Trabajamos con todos ellos para validarlos y asegurarnos de que no hubiera desvíos".
Los errores más graves, al menos desde una perspectiva de seguridad pública, se encontraron en Spireon, que posee varias marcas de seguimiento de vehículos por GPS y gestión de flotas, incluidas OnStar, GoldStar, LoJack, FleetLocate y NSpire, que abarcan 15 millones de vehículos conectados.
Spireon, resulta que habría sido un tesoro para los sinvergüenzas. Curry y el equipo descubrieron múltiples vulnerabilidades en la inyección de SQL y la omisión de autorización para realizar la ejecución remota de código en todo Spireon y hacerse cargo por completo de cualquier vehículo de la flota.
"Esto nos habría permitido rastrear y apagar los motores de arranque de la policía, las ambulancias y los vehículos de aplicación de la ley en varias ciudades grandes diferentes y enviar comandos a esos vehículos", escribieron los investigadores .
Los errores también les dieron acceso de administrador completo a Spireon y un panel de administración de toda la empresa desde el cual un atacante podría enviar comandos arbitrarios a los 15 millones de vehículos, desbloqueando puertas, tocando bocinas, arrancando motores y deshabilitando motores de forma remota.
“Nuestros profesionales de ciberseguridad se reunieron con el investigador de seguridad para discutir y evaluar las supuestas vulnerabilidades del sistema e implementaron inmediatamente medidas correctivas en la medida requerida”, dijo un portavoz de Spireon a The Register . "También tomamos medidas proactivas para fortalecer aún más la seguridad en toda nuestra cartera de productos como parte de nuestro compromiso continuo con nuestros clientes como proveedor líder de soluciones telemáticas de posventa".
"Spireon se toma muy en serio todos los asuntos de seguridad y utiliza un extenso conjunto de herramientas líder en la industria para monitorear y escanear sus productos y servicios en busca de riesgos de seguridad potenciales, tanto conocidos como novedosos", agregó el vocero.
Ferrari, BMW y Rolls Royce
Pasando al coche de los sueños de muchos amantes de la gasolina: Ferrari.
Con Ferrari, los investigadores encontraron controles de acceso demasiado permisivos que les permitieron acceder al código JavaScript para varias aplicaciones internas. El código contenía claves API y credenciales que podrían haber permitido a los atacantes acceder a los registros de los clientes y hacerse cargo (o eliminar) las cuentas de los clientes.
"Además, un atacante podría publicar en el punto final"/core/api/v1/Users/:id/Roles" para editar sus roles de usuario, configurarse para tener permisos de superusuario o convertirse en propietario de un Ferrari", dijeron los investigadores.
La falta de controles de acceso también podría haber permitido que los malhechores crearan y eliminaran cuentas de usuario administrador de la "oficina administrativa" de los empleados y luego modificaran los sitios web propiedad de Ferrari, incluido su sistema CMS.
Mientras tanto, un portal de inicio de sesión único (SSO) mal configurado para todos los empleados y contratistas de BMW, propietaria de Rolls-Royce, habría permitido el acceso a cualquier aplicación detrás del portal.
Entonces, por ejemplo, un atacante podría acceder a un portal interno de un distribuidor, consultar un número de VIN y luego recuperar todos los documentos de venta asociados con el vehículo.
Ni Ferrari ni BMW respondieron a las solicitudes de comentarios de The Register .
Qué no decirle a un cazador de bichos
De manera similar, un SSO mal configurado para Mercedes-Benz permitió a los investigadores crear una cuenta de usuario en un sitio web destinado a talleres de reparación de vehículos para solicitar herramientas específicas. Luego usaron esta cuenta para iniciar sesión en Mercedes-Benz Github, que contenía documentación interna y código fuente para varios proyectos de Mercedes-Benz, incluida su aplicación Me Connect utilizada por los clientes para conectarse de forma remota a sus vehículos.
Los investigadores informaron esta vulnerabilidad al fabricante de automóviles y notaron que Mercedes-Benz "parecía no haber entendido el impacto" y querían más detalles sobre por qué esto era un problema.
Entonces, el equipo usó sus credenciales de cuenta recién creadas para iniciar sesión en varias aplicaciones que contenían datos confidenciales. Luego, "lograron la ejecución remota de código a través de actuadores expuestos, consolas de arranque de resorte y docenas de aplicaciones internas sensibles utilizadas por los empleados de Mercedes-Benz".
Uno de ellos fue la versión de Slack del fabricante de automóviles. "Teníamos permiso para unirnos a cualquier canal, incluidos los canales de seguridad, y podíamos hacernos pasar por un empleado de Mercedes-Benz que podía hacer las preguntas necesarias para que un atacante real elevara sus privilegios en la infraestructura de Benz", explicaron los investigadores.
Un portavoz de Mercedes-Benz confirmó que Curry contactó a la compañía sobre la vulnerabilidad y que se había solucionado.
"La seguridad de nuestra organización, productos y servicios es una de nuestras principales prioridades", dijo el vocero, y agregó que "la vulnerabilidad identificada no afectó la seguridad de nuestros vehículos".
Curry y sus amigos también descubrieron vulnerabilidades que afectaban el servicio telemático de Porsche que les permitía recuperar de forma remota la ubicación del vehículo y enviar comandos al vehículo.
Además, encontraron una vulnerabilidad de control de acceso en la aplicación Toyota Financial que revelaba el nombre, el número de teléfono, la dirección de correo electrónico y el estado del préstamo de cualquier cliente. Toyota Motor Credit le dijo a The Register que solucionó el problema y señaló que "esto no tenía conexión con los vehículos Toyota ni con la forma en que operan".
Además, un portavoz de Porsche le dijo a The Register que "la seguridad y la protección del software del automóvil en nuestros vehículos es siempre una prioridad principal para Porsche".
"Monitoreamos permanentemente nuestros sistemas", dijo el vocero. "Tomamos muy en serio cualquier indicación de vulnerabilidades. Nuestra máxima prioridad es evitar el acceso no autorizado a los sistemas de nuestros vehículos por parte de terceros".
Fuente: https://www.theregister.com/
0 Comentarios