TM_839

8 10|11|2025 #839 Στο Security Analyst Summit 2025, η Kaspersky π αρουσίασε τα αποτελέσματα ενός ελέγχου ασφαλείας, ο οποίος αποκά- λυψε ένα σοβαρό κενό που επιτρέπει τη μη εξουσιοδοτημένη πρόσβαση σε όλα τα συνδεδεμένα οχήματα ενός κατασκευα- στή αυτοκινήτων. Μία ευπάθεια zero-day σε μια εφαρμογή ανοιχτής πρόσβασης εξωτερικού συνεργάτη καθιστά εφικτή την απόκτηση ελέγχου επί του συστήμα- τος τηλεματικής των οχημάτων, θέτοντας σε κίνδυνο τη σωματική ασφάλεια των οδηγών και των επιβατών. Για παράδειγ- μα, οι επιτιθέμενοι θα μπορούσαν να αλ- λάξουν ταχύτητες ή να σβήσουν τη μηχα- νή ενώ το όχημα βρίσκεται σε κίνηση. Τα ευρήματα αναδεικνύουν πιθανές αδυνα- μίες κυβερνοασφάλειας στην αυτοκινητο- βιομηχανία, εντείνοντας τις εκκλήσεις για ενισχυμένα μέτρα προστασίας. Ο έλεγχος ασφαλείας πραγματοποιήθη- κε εξ αποστάσεως και είχε στο επίκεντρο τις δημόσια προσβάσιμες υπηρεσίες του κατασκευαστή καθώς και την υποδομή του εξωτερικού συνεργάτη. Η Kaspersky εντόπισε αρκετές εκτεθειμένες διαδι- κτυακές υπηρεσίες. Αρχικά, μέσω μιας ευπάθειας SQL injection τύπου zero-day στην εφαρμογή wiki (μια διαδικτυα- κή πλατφόρμα που επιτρέπει σε χρή- στες να δημιουργούν, να επεξεργάζο- νται και να διαχειρίζονται περιεχόμενο συνεργατικά), οι ερευνητές κατάφεραν να εξαγάγουν λίστα χρηστών από την πλευρά του εξωτερικού συνεργάτη μαζί με hashes κωδικών πρόσβασης, μερικοί από τους οποίους αποκρυπτογραφήθη- καν λόγω αδύναμης πολιτικής κωδικών. Η παραβίαση αυτή έδωσε πρόσβαση στο σύστημα παρακολούθησης (issue tracking system) του εξωτερικού συ- νεργάτη (ένα εργαλείο λογισμικού που χρησιμοποιείται για τη διαχείριση και παρακολούθηση εργασιών, σφαλμάτων ή προβλημάτων σε ένα έργο), το οποίο περιείχε ευαίσθητες πληροφορίες δια- μόρφωσης σχετικά με την υποδομή τη- λεματικής του κατασκευαστή. Ανάμεσά τους υπήρχε και αρχείο με hashed (κα- τακερματισμένους) κωδικούς χρηστών ενός από τους servers τηλεματικής οχη- μάτων του κατασκευαστή. Στα σύγχρονα αυτοκίνητα, η τεχνολογία τηλεματικής επιτρέπει τη συλλογή, μετάδοση, ανά- λυση και αξιοποίηση διαφόρων δεδομέ- νων από τα συνδεδεμένα οχήματα. Από την πλευρά των συνδεδεμένων οχημάτων, η Kaspersky εντόπισε λαν- θασμένη ρύθμιση firewall, η οποία άφη- νε εκτεθειμένους εσωτερικούς servers. Χρησιμοποιώντας έναν κωδικό πρόσβα- σης λογαριασμού που είχαν αποκτήσει νωρίτερα, οι ερευνητές απέκτησαν πρό- σβαση στο σύστημα αρχείων του server και αποκάλυψαν στοιχεία άλλου συνερ- γάτη, τα οποία παρείχαν πλήρη έλεγ- χο στην υποδομή τηλεματικής. Το πιο ανησυχητικό εύρημα ήταν μία εντολή ενημέρωσης firmware, η οποία επέτρεπε το ανέβασμα τροποποιημένου λογισμι- κού στη Μονάδα Ελέγχου Τηλεματικής. Μέσω αυτής, οι ερευνητές απέκτησαν πρόσβαση στο δίκτυο CAN (Controller Area Network) – το σύστημα που συνδέ- ει τα διάφορα μέρη του οχήματος, όπως τον κινητήρα, τους αισθητήρες και το σύστημα μετάδοσης. Στη συνέχεια, απέ- κτησαν πρόσβαση και σε άλλα κρίσιμα συστήματα του οχήματος, όπως ο κινη- τήρας και το κιβώτιο ταχυτήτων, γεγο- νός που θα μπορούσε να επιτρέψει την παρέμβαση σε κρίσιμες λειτουργίες του οχήματος και να θέσει σε κίνδυνο την ασφάλεια οδηγού και επιβατών. Η Kaspersky συνιστά στους συνεργάτες να περιορίσουν την πρόσβαση στο διαδί- κτυο για τις διαδικτυακές υπηρεσίες μέσω VPN, να απομονώσουν τις υπηρεσίες από τα εταιρικά δίκτυα, να εφαρμόσουν αυ- στηρές πολιτικές κωδικών πρόσβασης, να ενεργοποιήσουν την πιστοποίηση δύο παραγόντων (2FA), να κρυπτογραφήσουν τα ευαίσθητα δεδομένα και να ενσωμα- τώσουν σύστημα καταγραφής ενεργειών (logging) με SIEM για παρακολούθηση σε πραγματικό χρόνο. Κενά ασφαλείας απειλούν την ασφάλεια των οχημάτων