Kaspersky presenteert de resultaten van een beveiligingsaudit die een aanzienlijke beveiligingsfout aan het licht heeft gebracht waardoor ongeoorloofde toegang tot alle aangesloten voertuigen van een autofabrikant mogelijk was.
Door misbruik te maken van een zero-day-kwetsbaarheid in een openbaar toegankelijke applicatie van een aannemer, was het mogelijk om controle te krijgen over het telematicasysteem van het voertuig, waardoor de fysieke veiligheid van bestuurders en passagiers in gevaar kwam. Aanvallers konden bijvoorbeeld tijdens het rijden schakelen of de motor uitschakelen. De bevindingen wijzen op mogelijke zwakke plekken in de cyberbeveiliging van de auto-industrie, wat aanleiding geeft tot oproepen tot verbeterde beveiligingsmaatregelen.
De kant van de autofabrikant
De beveiligingsaudit werd op afstand uitgevoerd en was gericht op de openbaar toegankelijke diensten van de fabrikant en de infrastructuur van de aannemer. Kaspersky identificeerde verschillende blootgestelde webservices. Ten eerste konden de onderzoekers via een zero-day SQL-injectie-kwetsbaarheid in de wiki-applicatie (een webgebaseerd platform waarmee gebruikers gezamenlijk inhoud kunnen creëren, bewerken en beheren) een lijst met gebruikers aan de kant van de aannemer met wachtwoord-hashes extraheren, waarvan sommige konden worden geraden vanwege een zwak wachtwoordbeleid.
Deze inbreuk gaf toegang tot het issue tracking-systeem van de aannemer (een softwaretool die wordt gebruikt om taken, bugs of problemen binnen een project te beheren en bij te houden), dat gevoelige configuratiegegevens bevatte over de telematica-infrastructuur van de fabrikant, waaronder een bestand met gehashte wachtwoorden van gebruikers van een van een van de telematicaservers voor voertuigen van de fabrikant. In een moderne auto maakt telematica het mogelijk om verschillende gegevens (bijv. snelheid, geolocatie, enz.) van connected voertuigen te verzamelen, te verzenden, te analyseren en te gebruiken.
Connected voertuigzijde
Aan de kant van het aangesloten voertuig ontdekte Kaspersky een verkeerd geconfigureerde firewall die interne servers blootstelde. Met behulp van een eerder verkregen wachtwoord voor een serviceaccount kregen de onderzoekers toegang tot het bestandssysteem van de server en ontdekten ze inloggegevens voor een andere aannemer, waardoor ze volledige controle kregen over de telematica-infrastructuur.
Het meest verontrustend was dat de onderzoekers een firmware-updatecommando ontdekten waarmee ze gewijzigde firmware konden uploaden naar de Telematics Control Unit (TCU). Dit gaf toegang tot de CAN-bus (Controller Area Network) van het voertuig, een systeem dat verschillende onderdelen van het voertuig met elkaar verbindt, zoals de motor en sensoren. Daarna werd toegang verkregen tot verschillende andere systemen, waaronder de motor, de transmissie, enz. Hierdoor konden verschillende kritieke voertuigfuncties worden gemanipuleerd, wat de veiligheid van de bestuurder en passagiers in gevaar kon brengen.
“De beveiligingsfouten zijn het gevolg van problemen die vrij vaak voorkomen in de auto-industrie: openbaar toegankelijke webservices, zwakke wachtwoorden, het ontbreken van tweefactorauthenticatie (2FA) en onversleutelde opslag van gevoelige gegevens. Deze inbreuk laat zien hoe één zwakke schakel in de infrastructuur van een aannemer kan leiden tot een volledige compromittering van alle aangesloten voertuigen. De auto-industrie moet prioriteit geven aan robuuste cyberbeveiligingspraktijken, met name voor systemen van derden, om bestuurders te beschermen en het vertrouwen in technologieën voor aangesloten voertuigen te behouden”, aldus Artem Zinenko, Head of Kaspersky ICS CERT Vulnerability Research and Assessment.
Kaspersky raadt aannemers aan om de internettoegang tot webservices via VPN te beperken, services te isoleren van bedrijfsnetwerken, strikte wachtwoordbeleidsregels te handhaven, 2FA te implementeren, gevoelige gegevens te versleutelen en logging te integreren met een SIEM-systeem voor realtime monitoring.
Voor de autofabrikant adviseert Kaspersky om de toegang tot het telematicaplatform vanuit het voertuignetwerksegment te beperken, allowlists te gebruiken voor netwerkinteracties, SSH-wachtwoordverificatie uit te schakelen, diensten met minimale privileges uit te voeren en de authenticiteit van commando’s in TCU’s te waarborgen, naast SIEM-integratie
