Los investigadores de ciberseguridad han descubierto un conjunto de cuatro fallas de seguridad en la pila Bluetooth de Bluesdk de OpenSynergy que, si se explotan con éxito, podría permitir la ejecución remota del código en millones de vehículos de transporte de diferentes proveedores. Las vulnerabilidades, denominadas PerfektBlue, pueden diseñarse juntas como una cadena de exploit para ejecutar un código arbitrario en automóviles de al menos tres fabricantes de automóviles principales, Mercedes-Benz, Volkswagen y Skoda, según PCA Cyber ​​Security (anteriormente PCAUTOMOTIVE). Fuera de estos tres, se ha confirmado que un cuarto fabricante de equipos original no identificado (OEM) se ve afectado. «El ataque de explotación de PerfektBlue es un conjunto de corrupción de memoria crítica y vulnerabilidades lógicas que se encuentran en la pila de bluesdk bluesdk de OpenSynergy que se pueden encadenar para obtener la ejecución de código remoto (RCE)», dijo la compañía de seguridad cibernética. En algunos casos, el aislamiento débil permite a los atacantes usar el acceso IVI como trampolín en zonas más sensibles, especialmente si el sistema carece de aplicación de la puerta de enlace o protocolos de comunicación seguros. El único requisito para lograr el ataque es que el mal actor debe estar dentro del alcance y poder combinar su configuración con el sistema de información y entretenimiento del vehículo objetivo sobre Bluetooth. Esencialmente equivale a un ataque de un solo clic para desencadenar la explotación por aire. «Sin embargo, esta limitación es específica de la implementación debido a la naturaleza marco de BluesDK», agregó PCA Cyber ​​Security. «Por lo tanto, el proceso de emparejamiento puede verse diferente entre varios dispositivos: el número limitado/ilimitado de solicitudes de emparejamiento, la presencia/ausencia de interacción del usuario o emparejamiento podría deshabilitarse por completo». La lista de vulnerabilidades identificadas es la siguiente: CVE-2024-45434 (puntaje CVSS: 8.0)-Uso-después de la transmisión en el servicio AVRCP CVE-2024-45431 (puntaje CVSS: 3.5)-Validación incorrecta de una función de CVE-2024-45433 de CVSS de un canal L2CAP: RFCOMM CVE-2024-45432 (puntuación CVSS: 5.7): la llamada de función con el parámetro incorrecto en RFComm obteniendo correctamente la ejecución del código en el sistema de información y entretenimiento en el vehículo (IVI) permite que un atacante rastree las coordinadas GPS, registrara audio, las listas de contactos de acceso e incluso realizar el movimiento posterior a otros sistemas y potencialmente tomar el control de el control de la crítica de los coordinados de GPS, al mismo tiempo, al mismo tiempo. Después de la divulgación responsable en mayo de 2024, los parches se implementaron en septiembre de 2024. «Perfektblue permite que un atacante lograr la ejecución de código remoto en un dispositivo vulnerable», dijo PCA Cyber ​​Security. «Considérelo como un punto de entrada al sistema objetivo que es crítico. Hablando de vehículos, es un sistema IVI. El movimiento lateral adicional dentro de un vehículo depende de su arquitectura y podría implicar vulnerabilidades adicionales». A principios de abril, la compañía presentó una serie de vulnerabilidades que podrían explotarse para dividirse de forma remota en un vehículo eléctrico Nissan Leaf y tomar el control de las funciones críticas. Los hallazgos se presentaron en la conferencia Black Hat Asia celebrada en Singapur. «Nuestro enfoque comenzó explotando las debilidades en Bluetooth para infiltrarse en la red interna, seguido de omitir el proceso de arranque seguro para aumentar el acceso», dijo. «Establecer un canal de comando y control (C2) sobre DNS nos permitió mantener un vínculo encubierto y persistente con el vehículo, que permite un control remoto completo. Al comprometer una CPU de comunicación independiente, podríamos interactuar directamente con el bus de lata, que gobierna elementos críticos del cuerpo, incluidos espejos, limpiadores, bloqueos de puerta e incluso la dirección». CAN, abreviatura de la red de área del controlador, es un protocolo de comunicación utilizado principalmente en vehículos y sistemas industriales para facilitar la comunicación entre múltiples unidades de control electrónico (ECU). Si un atacante con acceso físico al automóvil puede aprovecharlo, el escenario abre la puerta para ataques de inyección y suplantación de dispositivos de confianza. «Un ejemplo notorio involucra un pequeño dispositivo electrónico escondido dentro de un objeto inocuo (como un altavoz portátil)», dijo la compañía húngara. «Los ladrones enchufan este dispositivo a una unión de cableado de lata expuesta en el automóvil». «Una vez conectado al autobús CAN del automóvil, el dispositivo Rogue imita los mensajes de una ECU autorizada. Inunda el autobús con una explosión de mensajes de lata que declara ‘una clave válida está presente’ o instruye a acciones específicas como desbloquear las puertas». En un informe publicado a fines del mes pasado, Pen Test Partners reveló que convirtió un Renault Clio 2016 en un controlador de Mario Kart al interceptar los datos de Can Bus para obtener el control del automóvil y mapear su dirección, freno y acelerador a un controlador de juego con sede en Python. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.