Na konferenciji Security Analyst Summit 2025, kompanija Kaspersky predstavila je rezultate bezbednosne provere kojom je otkriven ozbiljan bezbednosni propust koji omogućava neovlašćeni pristup svim povezanim vozilima jednog proizvođača automobila.
Korišćenjem zero-day ranjivosti u javno dostupnoj aplikaciji jednog podizvođača, bilo je moguće preuzeti kontrolu nad telematskim sistemom vozila, čime je ugrožena fizička bezbednost vozača i putnika. Napadači su, na primer, mogli da forsiraju promenu brzina ili da ugase motor dok je vozilo u pokretu. Ova otkrića ukazuju na potencijalne slabosti u sajber bezbednosti automobilske industrije i predstavljaju poziv na uvođenje strožih bezbednosnih mera.
Strana proizvođača automobila
Bezbednosna provera sprovedena je daljinski i bila je usmerena na javno dostupne servise proizvođača i infrastrukturu podizvođača. Kaspersky je identifikovao nekoliko izloženih veb servisa. Prvo, korišćenjem zero-day SQL injection ranjivosti u wiki aplikaciji (veb platforma koja omogućava korisnicima da zajednički kreiraju, uređuju i upravljaju sadržajem), istraživači su uspeli da izvuku listu korisnika na strani podizvođača sa heširanim lozinkama, od kojih su neke bile pogođene zbog slabe politike lozinki. Ovaj upad omogućio je pristup sistemu za praćenje problema (issue tracking system) – softverskom alatu koji se koristi za upravljanje i praćenje zadataka, grešaka ili problema u okviru projekta.
U tom sistemu su se nalazili osetljivi podaci o konfiguraciji telematske infrastrukture proizvođača, uključujući i fajl sa heširanim lozinkama korisnika jednog od servera vozne telematike. U modernom automobilu, telematika omogućava prikupljanje, prenos, analizu i upotrebu različitih podataka (npr. brzina, geolokacija itd.) iz povezanih vozila.
Strana povezanog vozila
Na strani povezanog vozila, Kaspersky je otkrio pogrešno konfigurisan firewall koji je izlagao interne servere. Korišćenjem ranije pribavljene lozinke za service account, istraživači su pristupili fajl sistemu servera i otkrili akreditive drugog podizvođača, što im je omogućilo potpunu kontrolu nad telematskom infrastrukturom.
Najalarmantnije je to što su istraživači otkrili komandu za ažuriranje firmvera koja im je omogućavala da učitaju izmenjeni firmver u Telematics Control Unit (TCU). Time su dobili pristup CAN (Controller Area Network) magistrali – sistemu koji povezuje različite delove vozila, poput motora i senzora.
Nakon toga, pristupljeno je i raznim drugim sistemima, uključujući motor, menjač itd. Ovo je omogućilo potencijalnu manipulaciju čitavim nizom kritičnih funkcija vozila, što bi moglo ugroziti bezbednost vozača i putnika.
„Bezbednosni propusti potiču od problema koji su prilično česti u automobilskoj industriji: javno dostupni veb servisi, slabe lozinke, nedostatak multifaktorske autentifikacije (2FA) i nešifrovano skladištenje osetljivih podataka. Ovaj incident pokazuje kako jedna slaba karika u infrastrukturi podizvođača može dovesti do potpune kompromitacije svih povezanih vozila. Automobilska industrija mora da da prioritet snažnim praksama sajber bezbednosti, naročito kada je reč o sistemima trećih strana, kako bi zaštitila vozače i očuvala poverenje u tehnologije povezanih vozila,“ komentariše Artem Zinenko, rukovodilac Kaspersky ICS CERT Vulnerability Research and Assessment tima.
Kaspersky preporučuje da podizvođači ograniče pristup veb servisima putem VPN-a, izoliraju servise od korporativnih mreža, primenjuju stroge politike lozinki, uvedu 2FA, šifruju osetljive podatke i integrišu sistem logovanja sa SIEM sistemom radi praćenja u realnom vremenu.
Za proizvođača automobila, Kaspersky savetuje da ograniči pristup telematskoj platformi iz segmenta mreže vozila, koristi allowlist pristup za mrežne interakcije, onemogući SSH password authentication, pokreće servise sa minimalnim privilegijama i obezbedi proveru autentičnosti komandi u TCU jedinicama, zajedno sa integracijom SIEM sistema.