Ford Cars WiFi Güvenlik Açığı, Saldırganların Uzaktan Kod Yürütmesine İzin Verdi


Ford kısa süre önce SYNC 3 bilgi-eğlence sisteminde kullandığı Wi-Fi sürücüsünde bir arabellek taşması hatası tespit etti. Keşfin ardından Ford, bu kusur hakkında hızlı bir şekilde uyarıda bulundu ve güvenlik açığını kamuya açıkladı.

Arabanın çeşitli işlevlerinden yararlanan bilgisayar korsanları tarafından araba kaçırıldığı biliniyor, ancak bu tür saldırıların gerçek dünyada gerçekleştirilmesi zorlu olmaya devam ediyor.

Anında ciddi sonuçlara neden olan belirli güvenlik açıkları olsa da, tehdit aktörlerinin güvenlik açıklarından uzaktan yararlanarak arabaları açıp çalıştırmasına olanak tanır.

Bu sistem Ford ve Lincoln araçlarında kullanıldığından, bu kusurun başarılı bir şekilde kullanılması, tehdit aktörlerinin uzaktan kod yürütme gerçekleştirmesini sağlayabilir.

Bu güvenlik açığı “CVE-2023-29468” olarak izlendi ve bu açığı Wi-Fi modülü tedarikçisi Texas Instruments’a (TI) bildiren bir araştırmacı tarafından tespit edildi.

belge

ÜCRETSİZ Web Semineri

API Saldırıları %400 Arttı – API’lerinizi Pozitif Güvenlik Modeli ile Korumanın Temellerini Anlayın – Ücretsiz Web Semineri İçin Şimdi Kaydolun

Kusur Profili

  • CVE Kimliği: CVE-2023-29468
  • Özet: TI WiLink WL18xx MCP sürücüsü, bir yönetim çerçevesinde çözümlenebilen XCC_EXT_1_IE_ID veya XCC_EXT_2_IE_ID türündeki bilgi öğelerinin (IE’ler) sayısını sınırlamaz. Özel hazırlanmış bir çerçeve kullanılarak, potansiyel olarak uzaktan kod yürütülmesine yol açabilecek bir arabellek taşması tetiklenebilir.
  • TI PSIRT Kimliği: TI-PSIRT-2022-120160
  • CVSS Puanı: Bu sorun için CVSS taban puanı 8,8 ile 9,6 arasında değişebilir.
  • Etkilenen Ürünler: WILINK8-WIFI-MCP8 sürüm 8.5_SP3 ve öncesi

Ford’un Yanıtı

SYNC3 bilgi-eğlence sistemi, araç içi WiFi, bağlantı, sesli komutlar ve üçüncü taraf uygulamaları sunar. Güvenlik açığı, Ford müşterilerini ilgilendiriyor, ancak bilinen herhangi bir güvenlik açığı bildirilmedi.

Ayrıca, saldırganların başarılı bir saldırı için Wi-Fi’nin etkinleştirildiği açıkta çalışan bir motora fiziksel yakınlığa ihtiyacı vardır.

Ford’un araştırması, bilgi-eğlence sistemi güvenlik duvarı direksiyon, gaz verme ve frenleme ile kontrol müdahalesini önlediğinden, bu güvenlik açığının araç güvenliğini etkilemeyeceği sonucuna varıyor.

Bunun yanı sıra Ford, yakında USB kurulumu için çevrimiçi yazılım yamasını yayınlayacağını garanti etti. Bu arada kusurdan endişe duyan müşteriler, Wi-Fi’yi SYNC 3’ün Ayarlar menüsünden devre dışı bırakabilir veya aracın SYNC 3 durumunu çevrimiçi olarak kontrol edebilir.

Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.





Source link