Falta de autenticación en dispositivo Uconnect

Fecha de publicación:

18/09/2015

Importancia:

4 - Alta

Recursos afectados:

Los vehículos que disponen del sistema UConnect afectado son los siguientes:

2013-2015 Ram 1500/2500/3500/4500/5500,
2013-2015 Dodge Viper,
2014/15 Jeep Cherokee/Grand Cherokee,
2014/15 Dodge Durango,
2015 Chrysler 200/300,
2015 Dodge Challenger,
2015 Dodge Charger, and
2015 Jeep Renegade.

Descripción:

Se ha publicado una vulnerabilidad de falta de autorización en el dispositivo de información y entretenimiento Uconnect fabricado por Harman-Kardon.

Solución:

FCA ha contactado voluntariamente con sus 1,4 millones de clientes para aplicar un parche que soluciona los problemas de UConnect.

Detalle:

El sistema de información y entretenimiento Uconnect tiene acceso directo a algunos controles del vehículo. Un potencial atacante que se conectara al sistema Uconnect podría tener control total sobre el dispositivo. A través de este acceso, el atacante podría enviar comandos a las unidades de control del vehículo, lo que podría afectar tanto a la información mostrada (tacómetro) como a otros sistemas como los frenos o la dirección.

Se ha reservado el identificador CVE-2015-5611 para esta vulnerabilidad.

Referencias:

Harman-Kardon Uconnect Vulnerability

Etiquetas:

Vulnerabilidad

Accesos corporativos

Falta de autenticación en dispositivo Uconnect

Múltiples vulnerabilidades en varios productos de MB connect line

Vulnerabilidades en productos de Bosch con sistemas de comunicación CODESYS

Referencia a puntero nulo en módulos de interfaz Ethernet MELSEC-F de Mitsubishi Electric

Vulnerabilidad de falta de autenticación en WebAccess/NMS de Advantech

Múltiples vulnerabilidades en R-SeeNet de Advantech