Encuentran vulnerabilidades en sistema de infoentretenimiento de Mercedes-Benz

Iniciado por AXCESS, Enero 21, 2025, 11:16:44 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 21, 2025, 11:16:44 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Kaspersky publicó los resultados de una investigación sobre el sistema de infoentretenimiento Mercedes-Benz User Experience (MBUX) de primera generación, centrándose específicamente en la unidad principal de Mercedes-Benz.

Los investigadores partieron de los resultados de otro estudio realizado por KeenLab sobre los componentes internos del MBUX.

Los expertos utilizaron un software de diagnóstico para analizar la arquitectura del vehículo, escanear la unidad de control electrónico (ECU), identificar su versión y probar las funciones de diagnóstico. La investigación combinó interfaces de hardware y software para comunicarse con el vehículo a través del protocolo de diagnóstico por Internet (DoIP).

El sistema MBUX consta de varios componentes clave. La MMB (placa multimedia) es la parte principal de la unidad principal y contiene todos los subsistemas. La BB (placa base) incluye chips para diversas comunicaciones de red, mientras que la CSB (placa específica del país) amplía el sistema y se comunica con la MMB a través de Ethernet interna. El módulo RH850 facilita la comunicación entre buses de bajo nivel.

Los expertos de Kaspersky utilizaron dos configuraciones de prueba, un Mercedes B180 real y un banco de pruebas compuesto por su plataforma para pruebas de hardware y software, que se diseñó para la investigación.

Los expertos descubrieron vulnerabilidades que pueden explotarse para activar condiciones de denegación de servicio (DoS), inyectar comandos, escalar privilegios y potencialmente robar datos.

Kaspersky informó que un atacante con acceso físico al automóvil puede explotar vulnerabilidades para desactivar las protecciones antirrobo, modificar la configuración del vehículo y desbloquear servicios pagos, utilizando conexiones USB o IPC personalizadas.

"Durante nuestra investigación, logramos comprometer el banco de pruebas de la unidad principal y encontramos varias vulnerabilidades para un automóvil real a través del acceso físico", se lee en el informe publicado por Kaspersky.

"El compromiso del banco de pruebas tiene tres casos de uso potenciales:

un delincuente que desea desactivar la protección antirrobo en una unidad principal robada;
un propietario de un automóvil que tunea y desbloquea servicios prepago en su vehículo;
un pentester que realiza una investigación para encontrar nuevas vulnerabilidades.

En el caso de un coche real, las vulnerabilidades identificadas pueden activarse a través de un servicio USB expuesto que está disponible para el usuario general".

A continuación se muestra la lista de fallas descubiertas por los investigadores:

CVE-2024-37602
CVE-2024-37600
CVE-2024-37603
CVE-2024-37601
CVE-2023-34406
CVE-2023-34397
CVE-2023-34398
CVE-2023-34399
CVE-2023-34400
CVE-2023-34401
CVE-2023-34402
CVE-2023-34403
CVE-2023-34404

Los detalles de cada una de las fallas mencionadas anteriormente se publicarán aquí:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

En mayo de 2019, los investigadores de seguridad de Tencent Security Keen Lab identificaron cinco vulnerabilidades, identificadas como CVE-2021-23906, CVE-2021-23907, CVE-2021-23908, CVE-2021-23909 y CVE-2021-23910, en el último sistema de infoentretenimiento de los automóviles Mercedes-Benz.

Los expertos centraron su análisis en el sistema de infoentretenimiento Mercedes-Benz User Experience (MBUX), que el fabricante de automóviles presentó por primera vez en 2018.

Cuatro vulnerabilidades podrían ser explotadas por atacantes para controlar de forma remota algunas funciones del vehículo; afortunadamente, ninguna podría usarse para controlar las características físicas de los automóviles.

Los investigadores del equipo Keen descubrieron que los sistemas probados ejecutaban una versión desactualizada del núcleo Linux que presenta vulnerabilidades que podrían aprovecharse para llevar a cabo ataques específicos.

Los investigadores exploraron múltiples escenarios de ataque que podrían aprovechar el motor JavaScript del navegador, el chip Wi-Fi, la pila Bluetooth, las funciones USB o las aplicaciones de terceros en su unidad principal.

Los investigadores demostraron que un atacante podría configurar un shell web con privilegios de root y utilizar otros problemas, como errores de desbordamiento de pila, para interferir con funciones específicas del automóvil.

Los expertos pudieron eludir la protección antirrobo del vehículo e incluso realizar acciones de control del vehículo.

En su informe, los investigadores describen intentos de ataque exitosos y fallidos, al tiempo que brindan amplios detalles técnicos del hardware y el software que probaron.

Fuente:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario