Falta de autenticación en dispositivo Uconnect

Fecha de publicación:

18/09/2015

Importancia:

4 - Alta

Recursos afectados:

Los vehículos que disponen del sistema UConnect afectado son los siguientes:

2013-2015 Ram 1500/2500/3500/4500/5500,
2013-2015 Dodge Viper,
2014/15 Jeep Cherokee/Grand Cherokee,
2014/15 Dodge Durango,
2015 Chrysler 200/300,
2015 Dodge Challenger,
2015 Dodge Charger, and
2015 Jeep Renegade.

Descripción:

Se ha publicado una vulnerabilidad de falta de autorización en el dispositivo de información y entretenimiento Uconnect fabricado por Harman-Kardon.

Solución:

FCA ha contactado voluntariamente con sus 1,4 millones de clientes para aplicar un parche que soluciona los problemas de UConnect.

Detalle:

El sistema de información y entretenimiento Uconnect tiene acceso directo a algunos controles del vehículo. Un potencial atacante que se conectara al sistema Uconnect podría tener control total sobre el dispositivo. A través de este acceso, el atacante podría enviar comandos a las unidades de control del vehículo, lo que podría afectar tanto a la información mostrada (tacómetro) como a otros sistemas como los frenos o la dirección.

Se ha reservado el identificador CVE-2015-5611 para esta vulnerabilidad.

Referencias:

Harman-Kardon Uconnect Vulnerability

Etiquetas:

Vulnerabilidad

Accesos corporativos

Falta de autenticación en dispositivo Uconnect

Control de acceso incorrecto en Matrikon OPC Server

Vulnerabilidad DoS en Logix Controllers de Rockwell Automation

Consumo descontrolado de recursos en OPC UA Legacy Java Stack

Ejecución remota de código en producto Circutor

Denegación de servicio en MELSEC iQ-F series de Mitsubishi Electric