Cuatro vulnerabilidades denominadas PerfektBlue y que afectan a la pila Bluetooth BlueSDK de OpenSynergy pueden explotarse para lograr la ejecución remota de código y potencialmente permitir el acceso a elementos críticos en vehículos de múltiples proveedores, incluidos Mercedes-Benz AG, Volkswagen y Skoda.
OpenSynergy confirmó las fallas en junio del año pasado y lanzó parches a sus clientes en septiembre de 2024, pero muchos fabricantes de automóviles aún no han implementado las actualizaciones de firmware correctivas. Al menos un importante fabricante de equipos originales (OEM) se enteró recientemente de los riesgos de seguridad.
Los problemas de seguridad se pueden encadenar para crear un exploit que los investigadores llaman ataque PerfektBlue y que un atacante puede enviar de manera inalámbrica, requiriendo «como máximo un clic del usuario».
Aunque BlueSDK de OpenSynergy se utiliza ampliamente en la industria automotriz, proveedores de otros sectores también lo utilizan.
Ataques de PerfektBlue
Firewall de próxima generación (NGFW)
Los FortiGate NGFW protegen todos los bordes a cualquier escala con seguridad empresarial líder en la industria
Conocer..
El equipo de pentesters de PCA Cyber Security, empresa especializada en seguridad automotriz, descubrió las vulnerabilidades de PerfektBlue y las reportó a OpenSynergy en mayo de 2024. Son participantes habituales en las competiciones Pwn2Own Automotive y han descubierto más de 50 vulnerabilidades en sistemas de automóviles desde el año pasado.
Según ellos, el ataque PerfektBlue afecta a «millones de dispositivos en la industria automotriz y otras industrias».
Encontrar las fallas en BlueSDK fue posible mediante el análisis de un binario compilado del producto de software, ya que no tenían acceso al código fuente.
Los fallos, enumerados a continuación, varían en gravedad de bajos a altos y pueden proporcionar acceso al interior del automóvil a través del sistema de información y entretenimiento.
- CVE-2024-45434 (gravedad alta): uso posterior a la zona en el servicio AVRCP para el perfil Bluetooth que permite el control remoto de dispositivos multimedia.
- CVE-2024-45431 (gravedad baja): validación incorrecta del identificador de canal remoto (CID) de un canal L2CAP (Protocolo de adaptación y control de enlace lógico)
- CVE-2024-45433 (gravedad media): terminación incorrecta de una función en el protocolo de comunicación por radiofrecuencia (RFCOMM)
- CVE-2024-45432 (gravedad media): llamada de función con un parámetro incorrecto en el protocolo RFCOMM
Los investigadores no compartieron detalles técnicos completos sobre la explotación de las vulnerabilidades de PerfektBlue, pero dijeron que un atacante asociado al dispositivo afectado podría explotarlas para «manipular el sistema, escalar privilegios y realizar movimientos laterales a otros componentes del producto objetivo».
PCA Cyber Security demostró ataques PerfektBlue en unidades principales de infoentretenimiento en Volkswagen ID.4 (sistema ICAS3), Mercedes-Benz (NTG6) y Skoda Superb (MIB3), y obtuvo un shell inverso sobre el TCP/IP que permite la comunicación entre dispositivos en una red, como componentes en un automóvil.
Los investigadores dicen que con la ejecución remota de código en el sistema de información y entretenimiento del vehículo (IVI), un hacker podría rastrear coordenadas GPS, escuchar conversaciones en el auto, acceder a contactos telefónicos y potencialmente moverse lateralmente a subsistemas más críticos en el vehículo.
Riesgo y exposición
BlueSDK de OpenSynergy se usa ampliamente en la industria automotriz, pero es difícil determinar qué proveedores confían en él debido a los procesos de personalización y reempaquetado, así como a la falta de transparencia con respecto a los componentes de software integrados de un automóvil.
PerfektBlue es principalmente un RCE de un solo clic, ya que la mayoría de las veces requiere engañar al usuario para permitir el emparejamiento con un dispositivo atacante. Sin embargo, algunos fabricantes de automóviles configuran los sistemas de infoentretenimiento para que se emparejen sin confirmación.
PCA Cyber Security dijo a BleepingComputer que informaron a Volkswagen, Mercedes-Benz y Skoda sobre las vulnerabilidades y les dieron tiempo suficiente para aplicar los parches, pero los investigadores no recibieron respuesta de los proveedores sobre cómo abordar los problemas.
BleepingComputer contactó a los tres fabricantes de automóviles para preguntarles si implementaron las correcciones de OpenSynergy. Mercedes no recibió una declaración inmediata, y Volkswagen afirmó que, tras conocer los problemas, comenzaron a investigar el impacto y las maneras de abordar los riesgos.
«Las investigaciones revelaron que, en determinadas circunstancias, es posible conectarse al sistema de infoentretenimiento del vehículo a través de Bluetooth sin autorización», nos dijo un portavoz de Volkswagen.
El fabricante de automóviles alemán explicó que aprovechar las vulnerabilidades solo es posible si se cumplen varias condiciones al mismo tiempo:
- El atacante se encuentra a una distancia máxima de 5 a 7 metros del vehículo.
- El encendido del vehículo debe estar encendido.
- El sistema de infoentretenimiento debe estar en modo de emparejamiento, es decir, el usuario del vehículo debe estar emparejando activamente un dispositivo Bluetooth.
- El usuario del vehículo debe aprobar activamente el acceso Bluetooth externo del atacante en la pantalla.
Incluso si se dan estas condiciones y un atacante se conecta a la interfaz Bluetooth, «debe permanecer a una distancia máxima de 5 a 7 metros del vehículo» para mantener el acceso, dijo el representante de Volkswagen.
El proveedor subrayó que en caso de un exploit exitoso, un hacker no podría interferir con funciones críticas del vehículo como la dirección, la asistencia al conductor, el motor o los frenos porque están «en una unidad de control diferente protegida contra interferencias externas por sus propias funciones de seguridad».
PCA Cyber Security le dijo a BleepingComputer que el mes pasado confirmaron PerfektBlue en un cuarto OEM en la industria automotriz, quien dijo que OpenSynergy no les había informado de los problemas.
«Decidimos no revelar este OEM porque no hubo tiempo suficiente para que reaccionaran», nos dijeron los investigadores.
Planeamos revelar los detalles sobre este OEM afectado, así como los detalles técnicos completos de PerfektBlue, en noviembre de 2025, en una conferencia.
BleepingComputer también se comunicó con OpenSynergy para preguntar sobre el impacto que PerfektBlue tiene en sus clientes y cuántos están afectados, pero no hemos recibido una respuesta al momento de publicar.
Actualización 11/7 : Open Synergy respondió a BleepingComputer diciendo que debido a acuerdos de confidencialidad, no puede revelar qué fabricantes o modelos de automóviles están afectados por esta falla, pero nos aseguró que está trabajando con ellos para lograr una resolución personalizada.
Mercedes-Benz respondió a nuestra solicitud de comentarios con la siguiente declaración:
En noviembre de 2024, un equipo de investigadores de seguridad externos nos contactó en relación con el marco de trabajo Bluetooth BlueSDK de Open Synergy. Nuestra empresa revisó exhaustivamente los hallazgos notificados y se tomaron todas las medidas necesarias para mitigar los riesgos. Open Synergy ya proporcionó la actualización de la biblioteca BlueSDK, que también está disponible mediante actualizaciones inalámbricas. – Mercedes-Benz
Fuente: bleepingcomputer
