Cybersecurity -onderzoekers hebben een set van vier beveiligingsfouten ontdekt in de BluesDK Bluetooth -stapel van OpenSyergy die, indien met succes uitgebuit, de externe code -uitvoering op miljoenen transportvoertuigen van verschillende leveranciers zou kunnen toestaan.
De kwetsbaarheden, nagesynchroniseerd Perfektbluekunnen worden samengevoegd als een exploitketen om willekeurige code op auto’s uit te voeren van ten minste drie grote autofabrikanten, Mercedes-Benz, Volkswagen en Skoda, volgens PCA Cyber Security (voorheen Pcautomotive). Buiten deze drie is bevestigd dat een vierde niet nader genoemde originele apparatuurfabrikant (OEM) ook wordt beïnvloed.
“Perfektblue -exploitatieaanval is een reeks kritieke geheugencorruptie en logische kwetsbaarheden die worden gevonden in OpenSyergy BluesDK Bluetooth -stapel die aan elkaar kunnen worden geketend om externe code -uitvoering (RCE) te verkrijgen,” zei het Cybersecurity Company.
Hoewel infotainmentsystemen vaak worden gezien als geïsoleerd van kritieke voertuigbesturingselementen, hangt deze scheiding in de praktijk sterk af van hoe elke automaker interne netwerksegmentatie ontwerpt. In sommige gevallen stelt een zwakke isolatie aanvallers in staat om IVI-toegang als springplank te gebruiken in meer gevoelige zones-vooral als het systeem mist handhaving op gateway-niveau of beveiligde communicatieprotocollen.
De enige vereiste om de aanval af te voeren, is dat de slechte acteur binnen het bereik moet zijn en hun opstelling kunnen koppelen met het infotainmentsysteem van het doelvoertuig via Bluetooth. Het komt in wezen neer op een aanval met één klik om over-de-lucht exploitatie te activeren.
“Deze beperking is echter implementatiespecifiek vanwege het kaderkarakter van BluesDK,” voegde PCA Cyber Security toe. “Het koppelingsproces kan er dus anders uitzien tussen verschillende apparaten: beperkt/onbeperkt aantal parenaanvragen, aanwezigheid/afwezigheid van gebruikersinteractie of paren kan volledig worden uitgeschakeld.”
De lijst met geïdentificeerde kwetsbaarheden is als volgt –
- CVE-2024-45434 (CVSS-score: 8.0)-Use-after-vrij in AVRCP-service
- CVE-2024-45431 (CVSS -score: 3.5) – Onjuiste validatie van de externe CID van een L2CAP -kanaal
- CVE-2024-45433 (CVSS -score: 5.7) – Onjuiste functiebeëindiging in RFCOMM
- CVE-2024-45432 (CVSS -score: 5.7) – Functieaanroep met onjuiste parameter in RFCOMM
Door succesvol code-uitvoering te verkrijgen op het Infotainment (IVI) -systeem in het voertuig stelt een aanvaller in staat om GPS-coördinaten te volgen, audio te registreren, toegangslijsten te gebruiken en zelfs laterale beweging naar andere systemen uit te voeren en mogelijk de controle over kritieke softwarefuncties van de auto, zoals de motor, te nemen.
Na verantwoorde openbaarmaking in mei 2024 werden patches uitgerold in september 2024.
“Met PerfektBLUE kan een aanvaller externe code -uitvoering bereiken op een kwetsbaar apparaat,” zei PCA Cyber Security. “Beschouw het als een instap voor het beoogde systeem dat van cruciaal belang is. Over voertuigen gesproken, het is een IVI -systeem. Verdere laterale beweging in een voertuig hangt af van de architectuur en kan extra kwetsbaarheden met zich meebrengen.”
Eerder in april presenteerde het bedrijf een reeks kwetsbaarheden die konden worden benut om op afstand in te breken in een elektrisch voertuig van Nissan Leaf en de controle over kritieke functies te nemen. De bevindingen werden gepresenteerd op de Black Hat Asia -conferentie in Singapore.
“Onze aanpak begon door het exploiteren van zwakke punten in Bluetooth om het interne netwerk te infiltreren, gevolgd door het doorboren van het beveiligde opstartproces om de toegang te escaleren,” zei het.
“Door een command-and-control (C2) -kanaal op DNS op te zetten, kon we een verborgen, aanhoudende link met het voertuig behouden, waardoor volledige afstandsbediening mogelijk is. Door een onafhankelijke communicatie-CPU in gevaar te brengen, konden we rechtstreeks communiceren met de CAN-bus, die kritieke lichaamselementen regelt, inclusief spiegels, ruitenwissers, deursloten en zelfs de structuur.”
CAN, kort voor Controller Area Network, is een communicatieprotocol dat voornamelijk wordt gebruikt in voertuigen en industriële systemen om de communicatie tussen meerdere elektronische controle -eenheden (ECU’s) te vergemakkelijken. Mocht een aanvaller met fysieke toegang tot de auto eraan kunnen aanboren, opent het scenario de deur voor injectieaanvallen en imitatie van vertrouwde apparaten.
“Een berucht voorbeeld omvat een klein elektronisch apparaat verborgen in een onschuldig object (zoals een draagbare luidspreker),” zei het Hongaarse bedrijf. “Dieven sluiten dit apparaat heimelijk aan op een blootgestelde CAN -bedrading van de auto.”
“Eenmaal verbonden met de CAN -bus van de auto, bootst het malafide apparaat de berichten van een geautoriseerde ECU na. Het overspoelt de bus met een uitbarsting van CAN -berichten die” een geldige sleutel zijn “of het instrueren van specifieke acties zoals het ontgrendelen van de deuren.”
In een rapport dat eind vorige maand werd gepubliceerd, onthulden Pen Test Partners dat het een 2016 Renault Clio in een Mario Kart-controller veranderde door CAN-busgegevens te onderscheppen om controle over de auto te krijgen en de besturing, rem- en gasklepsignalen in kaart te brengen aan een Python-gebaseerde gamecontroller.
