jueves, 7 de julio de 2016

Vulnerabilidades en servicios web de BMW

Se han anunciado dos vulnerabilidades sin corregir relacionadas con el servicio online de BMW ConnectedDrive, afectan tanto al dominio web de BMW como al propio portal ConnectedDrive. 

ConnectedDrive de BMW ofrece una amplia gama de servicios y aplicaciones inteligentes que proporcionan información y entretenimiento durante el viaje.

Los problemas han sido reportados por investigadores de Vulnerability Labs, y ambos residen en servicios web de BMW. El primero afecta a la aplicación web de ConnectedDrive y reside en una vulnerabilidad de validación de sesión en el procedimiento de añadir un nuevo número de bastidor (o número VIN, Vehicle Identification Number).

La validación no permite que se añadan números inexistentes a la interfaz de configuración. Sin embargo, un atacante remoto puede cambiar la información de creación o actualización mediante un ataque de modificación de sesión. Esto permite evitar la excepción de un número de bastidor erróneo y añadirlo a la configuración. De esta forma, el atacante podrá adquirir y comprometer otros números de bastidor para visualizar o manipular su configuración a través de ConnectedDrive.

Por otra parte, también se ha confirmado una vulnerabilidad de cross-site scripting en la web de BMW y que podría afectar a cualquier usuario del sistema. El problema reside en el valor 't' (token) de la página 'passwordResetOk.html' de la aplicación web y podría permitir a un atacante ejecutar código script arbitrario.

Prueba de concepto:
https://www.bmw.es/home/publicPools/landingPages/passwordResetOk.html?t=OiWU9ARpVXDXDjlRJ3tS6XxgnOvkFzRK%22%3E%3Ciframe%20src=a%20onload=alert(%27XSS%27)%3E

Los investigadores de Vulnerability Labs reportaron los problemas al fabricante alemán el pasado mes de febrero, y confirman una respuesta de BMW en abril. Sin embargo tras más de tres meses sin ninguna comunicación adicional y sin evidencias de corrección, han decidido hacerlos públicos.

Cada vez los coches disponen de más sistemas informáticos, y ya muchos disponen hasta de conexión a Internet. Esto expone al software del automóvil a los mismos riesgos que cualquier otro sistema conectado a la Red. No es la primera vez que BMW sufre un problema con el software ConnectedDrive. El año pasado se vio obligada a actualizar el software de más de 2 millones de coches de las marcas BMW, Mini y Rolls Royce debido a una vulnerabilidad que podía facilitar a un atacante la apertura del automóvil (entre otros problemas).

Los fabricantes de automóviles deben tomar conciencia de la importancia que representa la seguridad del software del vehículo, y del externo al vehículo (aplicaciones móviles o webs), y no cometer los mismos fallos que la industria del software lleva años pagando.

Más información:

BMW ConnectedDrive -  (Update) VIN Session Vulnerability
http://www.vulnerability-lab.com/get_content.php?id=1736

BMW - (Token) Client Side Cross Site Scripting Vulnerability
http://www.vulnerability-lab.com/get_content.php?id=1737

una-al-dia (01/02/2015) BMW actualiza el software de más de 2 millones de automóviles por una vulnerabilidad
http://unaaldia.hispasec.com/2015/02/bmw-actualiza-el-software-de-mas-de-2.html

  

Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017