Στο Security Analyst Summit 2025, η Kaspersky παρουσίασε τα αποτελέσματα ενός ελέγχου ασφαλείας, ο οποίος αποκάλυψε ένα σοβαρό κενό που επιτρέπει τη μη εξουσιοδοτημένη πρόσβαση σε όλα τα συνδεδεμένα οχήματα ενός κατασκευαστή αυτοκινήτων.
Η ευπάθεια zero-day σε μια εφαρμογή ανοιχτής πρόσβασης εξωτερικού συνεργάτη καθιστά εφικτή την απόκτηση ελέγχου επί του συστήματος τηλεματικής των οχημάτων, θέτοντας σε κίνδυνο τη σωματική ασφάλεια των οδηγών και των επιβατών. Για παράδειγμα, οι επιτιθέμενοι θα μπορούσαν να αλλάξουν ταχύτητες ή να σβήσουν τη μηχανή ενώ το όχημα βρίσκεται σε κίνηση. Τα ευρήματα αναδεικνύουν πιθανές αδυναμίες κυβερνοασφάλειας στην αυτοκινητοβιομηχανία, εντείνοντας τις εκκλήσεις για ενισχυμένα μέτρα προστασίας.
Από την πλευρά του κατασκευαστή αυτοκινήτων
Ο έλεγχος ασφαλείας πραγματοποιήθηκε εξ αποστάσεως και είχε στο επίκεντρο τις δημόσια προσβάσιμες υπηρεσίες του κατασκευαστή καθώς και την υποδομή του εξωτερικού συνεργάτη. Η Kaspersky εντόπισε αρκετές εκτεθειμένες διαδικτυακές υπηρεσίες.
Αρχικά, μέσω μιας ευπάθειας SQL injection τύπου zero-day στην εφαρμογή wiki (μια διαδικτυακή πλατφόρμα που επιτρέπει σε χρήστες να δημιουργούν, να επεξεργάζονται και να διαχειρίζονται περιεχόμενο συνεργατικά), οι ερευνητές κατάφεραν να εξαγάγουν λίστα χρηστών από την πλευρά του εξωτερικού συνεργάτη μαζί με hashes κωδικών πρόσβασης, μερικοί από τους οποίους αποκρυπτογραφήθηκαν λόγω αδύναμης πολιτικής κωδικών.
Η παραβίαση αυτή έδωσε πρόσβαση στο σύστημα παρακολούθησης (issue tracking system) του εξωτερικού συνεργάτη (ένα εργαλείο λογισμικού που χρησιμοποιείται για τη διαχείριση και παρακολούθηση εργασιών, σφαλμάτων ή προβλημάτων σε ένα έργο), το οποίο περιείχε ευαίσθητες πληροφορίες διαμόρφωσης σχετικά με την υποδομή τηλεματικής του κατασκευαστή. Ανάμεσά τους υπήρχε και αρχείο με hashed (κατακερματισμένους) κωδικούς χρηστών ενός από τους servers τηλεματικής οχημάτων του κατασκευαστή. Στα σύγχρονα αυτοκίνητα, η τεχνολογία τηλεματικής επιτρέπει τη συλλογή, μετάδοση, ανάλυση και αξιοποίηση διαφόρων δεδομένων (όπως ταχύτητα, γεωγραφική τοποθεσία κ.ά.) από τα συνδεδεμένα οχήματα.
Από την πλευρά του συνδεδεμένου οχήματος
Από την πλευρά των συνδεδεμένων οχημάτων, η Kaspersky εντόπισε λανθασμένη ρύθμιση firewall, η οποία άφηνε εκτεθειμένους εσωτερικούς servers. Χρησιμοποιώντας έναν κωδικό πρόσβασης λογαριασμού που είχαν αποκτήσει νωρίτερα, οι ερευνητές απέκτησαν πρόσβαση στο σύστημα αρχείων του server και αποκάλυψαν στοιχεία άλλου συνεργάτη, τα οποία παρείχαν πλήρη έλεγχο στην υποδομή τηλεματικής.
Το πιο ανησυχητικό εύρημα ήταν μία εντολή ενημέρωσης firmware, η οποία επέτρεπε το ανέβασμα τροποποιημένου λογισμικού στη Μονάδα Ελέγχου Τηλεματικής (Telematics Control Unit – TCU). Μέσω αυτής, οι ερευνητές απέκτησαν πρόσβαση στο δίκτυο CAN (Controller Area Network) – το σύστημα που συνδέει τα διάφορα μέρη του οχήματος, όπως τον κινητήρα, τους αισθητήρες και το σύστημα μετάδοσης. Στη συνέχεια, απέκτησαν πρόσβαση και σε άλλα κρίσιμα συστήματα του οχήματος, όπως ο κινητήρας και το κιβώτιο ταχυτήτων, γεγονός που θα μπορούσε να επιτρέψει την παρέμβαση σε κρίσιμες λειτουργίες του οχήματος και να θέσει σε κίνδυνο την ασφάλεια οδηγού και επιβατών.
«Τα κενά ασφαλείας προκύπτουν από ζητήματα που είναι ιδιαίτερα συνηθισμένα στην αυτοκινητοβιομηχανία: δημόσια προσβάσιμες διαδικτυακές υπηρεσίες, αδύναμοι κωδικοί πρόσβασης, έλλειψη πιστοποίησης δύο παραγόντων (2FA) και μη κρυπτογραφημένη αποθήκευση ευαίσθητων δεδομένων. Η συγκεκριμένη παραβίαση δείχνει πώς ένα μόνο αδύναμο σημείο στην υποδομή ενός συνεργάτη μπορεί να οδηγήσει σε πλήρη παραβίαση όλων των συνδεδεμένων οχημάτων. Η βιομηχανία οφείλει να θέσει σε απόλυτη προτεραιότητα τις ισχυρές πρακτικές κυβερνοασφάλειας, ειδικά όταν πρόκειται για συστήματα τρίτων, προκειμένου να προστατεύσει τους οδηγούς και να διατηρήσει την εμπιστοσύνη στις τεχνολογίες συνδεδεμένων οχημάτων», σχολιάζει ο Artem Zinenko, επικεφαλής του Kaspersky ICS CERT Vulnerability Research and Assessment.
Η Kaspersky συνιστά στους συνεργάτες να περιορίσουν την πρόσβαση στο διαδίκτυο για τις διαδικτυακές υπηρεσίες μέσω VPN, να απομονώσουν τις υπηρεσίες από τα εταιρικά δίκτυα, να εφαρμόσουν αυστηρές πολιτικές κωδικών πρόσβασης, να ενεργοποιήσουν την πιστοποίηση δύο παραγόντων (2FA), να κρυπτογραφήσουν τα ευαίσθητα δεδομένα και να ενσωματώσουν σύστημα καταγραφής ενεργειών (logging) με SIEM για παρακολούθηση σε πραγματικό χρόνο.
Στους κατασκευαστές αυτοκινήτων, η Kaspersky προτείνει τον περιορισμό της πρόσβασης στην πλατφόρμα τηλεματικής από το δίκτυο των οχημάτων, τη χρήση λιστών επιτρεπόμενων (allowlists) για τις δικτυακές αλληλεπιδράσεις, την απενεργοποίηση του ελέγχου ταυτότητας SSH με κωδικό, την εκτέλεση υπηρεσιών με τα ελάχιστα δυνατά δικαιώματα πρόσβασης και τη διασφάλιση της αυθεντικότητας των εντολών στις Μονάδες Ελέγχου Τηλεματικής (TCUs), παράλληλα με την ενσωμάτωση SIEM για συνεχή παρακολούθηση.
