Η Kaspersksy εντοπίζει κενά ασφαλείας σε συνδεδεμένα οχήματα!

Πρόκειται για ένα σοβαρό ατόπημα που επιτρέπει τη μη εξουσιοδοτημένη πρόσβαση σε όλα τα συνδεδεμένα οχήματα ενός κατασκευαστή

Τα αποτελέσματα μιας σοβαρότατης παθογένειας στα συστήματα κυβερνοασφάλειας των συνδεδεμένων οχημάτων που προέρχονται από τον ίδιο κατασκευαστή, γνωστοποίησε πρόσφατα η εταιρεία ψηφιακής προστασίας Kaspersky, στο πλαίσιο του συνεδρίου Security Analyst Summit 2025.
Αναλυτικότερα, η ρωσική φίρμα πραγματοποίησε έναν έλεγχο ασφαλείας εξ αποστάσεως, με επίκεντρο τις δημόσια προσβάσιμες υπηρεσίες του κατασκευαστή – καθώς και την υποδομή ενός εξωτερικού συνεργάτη – εντοπίζοντας κατά αυτόν τον τρόπο αρκετές εκτεθειμένες διαδικτυακές υπηρεσίες.
Έτσι, σε πρώτη φάση, μέσω μιας ευπάθειας SQL injection στην εφαρμογή wiki (σ.σ. πρόκειται για μια διαδικτυακή πλατφόρμα που επιτρέπει σε χρήστες να δημιουργούν, να επεξεργάζονται και να διαχειρίζονται περιεχόμενο συνεργατικά), οι ερευνητές κατάφεραν να εξαγάγουν μια λίστα χρηστών από την πλευρά του εξωτερικού συνεργάτη, μαζί με κωδικούς πρόσβασης σε κρυπτογραφημένη μορφή - μερικοί από τους οποίους αποκρυπτογραφήθηκαν λόγω αδύναμης πολιτικής κωδικών.
Η παραβίαση αυτή λοιπόν έδωσε πρόσβαση στο σύστημα παρακολούθησης (issue tracking system) του εξωτερικού συνεργάτη - ένα εργαλείο λογισμικού που χρησιμοποιείται για τη διαχείριση και παρακολούθηση εργασιών, σφαλμάτων ή προβλημάτων σε ένα έργο -, το οποίο περιείχε ευαίσθητες πληροφορίες διαμόρφωσης σχετικά με την υποδομή τηλεματικής του κατασκευαστή.

Συνέχεια του άρθρου >>>

Μέσα από μια τέτοια εξέλιξη, ένας κακόβουλος χρήστης θα μπορούσε να θέσει σε κίνδυνο την ασφάλεια των επιβατών

Τα χειρότερα όμως δε σταματούν εδώ… Κι αυτό, γιατί σε ό,τι έχει να κάνει με τα συνδεδεμένα οχήματα, η Kaspersky εντόπισε μια λανθασμένη ρύθμιση firewall, που αφήνει εκτεθειμένους τους εσωτερικούς servers, με αποτέλεσμα - αξιοποιώντας έναν κωδικό πρόσβασης λογαριασμού που είχαν αποκτήσει νωρίτερα - οι ερευνητές να κερδίσουν πρόσβαση στο σύστημα αρχείων του server και να αποκαλύψουν τα στοιχεία ενός άλλου συνεργάτη (σ.σ. στοιχεία που παρείχαν πλήρη έλεγχο στην υποδομή τηλεματικής).
Το πιο ανησυχητικό εύρημα της υπόθεσης δε, ήταν μία εντολή ενημέρωσης firmware, η οποία επέτρεπε το ανέβασμα τροποποιημένου λογισμικού στη Μονάδα Ελέγχου Τηλεματικής (Telematics ControlUnit – TCU), μέσω της οποίας οι ερευνητές απέκτησαν πρόσβαση στο δίκτυο CAN (Controller Area Network) – το σύστημα κοινώς που συνδέει τα διάφορα μέρη του οχήματος, όπως τον κινητήρα, τους αισθητήρες και το σύστημα μετάδοσης.
Τι σημαίνουν όλα αυτά; Απλούστατα ότι ένας κακόβουλος hacker θα μπορούσε να παρέμβει σε κρίσιμες λειτουργίες του οχήματος και να θέσει σε κίνδυνο τη σωματική ασφάλεια τόσο των οδηγών, όσο και των επιβατών, επιχειρώντας π.χ. να αλλάξει σχέση στις ταχύτητες ή να σβήσει τη μηχανή, ενόσω το όχημα βρίσκεται εν κινήσει.
Κοντολογίς, τα ευρήματα αναδεικνύουν πιθανές αδυναμίες κυβερνοασφάλειας στην αυτοκινητοβιομηχανία, εντείνοντας έτσι τις εκκλήσεις για ενισχυμένα μέτρα προστασίας, μιας και ως γνωστόν στα σύγχρονα αυτοκίνητα, η τεχνολογία τηλεματικής επιτρέπει τη συλλογή, μετάδοση, ανάλυση και αξιοποίηση διαφόρων δεδομένων (όπως είναι π.χ. η ταχύτητα ή η γεωγραφική τοποθεσία) από τα συνδεδεμένα οχήματα.

Τα μέτρα αντιμετώπισης που συστήνει η ρωσική εταιρεία κυβερνοασφάλειας

Όσον αφορά στο σκέλος της αντιμετώπισης του ανησυχητικού αυτού φαινομένου τώρα, η Kaspersky συστήνει στους συνεργάτες να περιορίσουν την πρόσβαση στο διαδίκτυο για τις διαδικτυακές υπηρεσίες μέσω VPN, να απομονώσουν τις υπηρεσίες από τα εταιρικά δίκτυα, να εφαρμόσουν αυστηρές πολιτικές κωδικών πρόσβασης, να ενεργοποιήσουν την πιστοποίηση δύο παραγόντων (2FA), να κρυπτογραφήσουν τα ευαίσθητα δεδομένα τους και να ενσωματώσουν σύστημα καταγραφής ενεργειών (logging) με SIEM για παρακολούθηση σε πραγματικό χρόνο.
Την ίδια ώρα δε, στους κατασκευαστές αυτοκινήτων προτείνει τον περιορισμό της πρόσβασης στην πλατφόρμα τηλεματικής από το δίκτυο των οχημάτων, τη χρήση επιτρεπόμενων λιστών (allowlists) για τις δικτυακές αλληλεπιδράσεις, την απενεργοποίηση του ελέγχου ταυτότητας SSH με κωδικό, την εκτέλεση υπηρεσιών με τα ελάχιστα δυνατά δικαιώματα πρόσβασης και τη διασφάλιση της αυθεντικότητας των εντολών στις Μονάδες Ελέγχου Τηλεματικής (TCUs), παράλληλα με την ενσωμάτωση SIEM για συνεχή παρακολούθηση.
Όπως δήλωσε εξάλλου σχετικά ο επικεφαλής του Kaspersky ICS CERT Vulnerability Research and Assessment, Artem Zinenko: «Τα κενά ασφαλείας προκύπτουν από ζητήματα που είναι ιδιαίτερα συνηθισμένα στην αυτοκινητοβιομηχανία: δημόσια προσβάσιμες διαδικτυακές υπηρεσίες, αδύναμοι κωδικοί πρόσβασης, έλλειψη πιστοποίησης δύο παραγόντων (2FA) και μη κρυπτογραφημένη αποθήκευση ευαίσθητων δεδομένων. Η συγκεκριμένη παραβίαση δείχνει πώς ένα μόνο αδύναμο σημείο στην υποδομή ενός συνεργάτη μπορεί να οδηγήσει σε πλήρη παραβίαση όλων των συνδεδεμένων οχημάτων. Η βιομηχανία οφείλει να θέσει σε απόλυτη προτεραιότητα τις ισχυρές πρακτικές κυβερνοασφάλειας, ειδικά όταν πρόκειται για συστήματα τρίτων, προκειμένου να προστατεύσει τους οδηγούς και να διατηρήσει την εμπιστοσύνη στις τεχνολογίες συνδεδεμένων οχημάτων».

Karsan: Το αυτόνομο e-JEST «κατακτά» και την Αμερική!

Οι MAN & VW ενώνουν δυνάμεις για χάρη της βιώσιμης κινητικότητας!

«Σαμποτάρονται» τα e-Vans από τις χαμηλές ταχύτητες φόρτισης;

Η Kaspersksy εντοπίζει κενά ασφαλείας σε συνδεδεμένα οχήματα!

Πρόκειται για ένα σοβαρό ατόπημα που επιτρέπει τη μη εξουσιοδοτημένη πρόσβαση σε όλα τα συνδεδεμένα οχήματα ενός κατασκευαστή

Μέσα από μια τέτοια εξέλιξη, ένας κακόβουλος χρήστης θα μπορούσε να θέσει σε κίνδυνο την ασφάλεια των επιβατών

Τα μέτρα αντιμετώπισης που συστήνει η ρωσική εταιρεία κυβερνοασφάλειας

Arvanitis Group: Top ποιότητα στα ανυψωτικά & ζυγιστικά μηχανήματα!

AutoDamigos: Ο ειδικός στα μεταχειρισμένα Vans!