Kaspersky berhasil mengeksploitasi kerentanan zero-day pada aplikasi kontraktor yang dapat diakses publik, memungkinkan mereka untuk mengambil kendali penuh atas sistem telematika kendaraan. Ini berarti penyerang dapat secara paksa memindahkan gigi atau mematikan mesin saat kendaraan sedang beroperasi, menciptakan skenario yang sangat berbahaya di jalan.
Audit keamanan dilakukan dari jarak jauh, menargetkan layanan publik produsen dan infrastruktur kontraktor. Para peneliti Kaspersky mengidentifikasi beberapa layanan web yang terekspos. Melalui kerentanan injeksi SQL zero-day pada aplikasi wiki, mereka berhasil mengekstrak daftar pengguna kontraktor beserta hash kata sandi.
Kebijakan kata sandi yang lemah memungkinkan beberapa kata sandi ditebak, memberikan akses ke sistem pelacakan masalah kontraktor. Sistem ini berisi detail konfigurasi sensitif tentang infrastruktur telematika pabrikan, termasuk berkas berisi hash kata sandi pengguna server telematika kendaraan.
Di sisi kendaraan terhubung, Kaspersky menemukan firewall yang salah konfigurasi, yang mengekspos server internal. Dengan menggunakan kata sandi akun layanan yang diperoleh sebelumnya, peneliti mengakses sistem berkas server dan menemukan kredensial kontraktor lain, yang pada akhirnya memberikan kendali penuh atas infrastruktur telematika.
Lebih lanjut, mereka menemukan perintah pembaruan firmware yang memungkinkan pengunggahan firmware yang dimodifikasi ke Unit Kontrol Telematika (TCU). Hal ini memberikan akses ke bus CAN (Controller Area Network) kendaraan, sebuah sistem yang menghubungkan berbagai bagian kendaraan seperti mesin dan sensor. Akses ini memungkinkan manipulasi berbagai fungsi penting kendaraan, yang dapat membahayakan keselamatan pengemudi dan penumpang.
“Kelemahan keamanan ini berasal dari masalah yang cukup umum di industri otomotif: layanan web yang dapat diakses publik, lemahnya kata sandi, kurangnya autentikasi dua faktor (2FA), dan penyimpanan data sensitif yang tidak terenkripsi. Pelanggaran ini menunjukkan bagaimana satu titik lemah dalam infrastruktur kontraktor dapat mengakibatkan peretasan total terhadap semua kendaraan yang terhubung," komentar Artem Zinenko, Kepala Penelitian dan Penilaian Kerentanan Kaspersky ICS CERT.
"Industri otomotif harus memprioritaskan praktik keamanan siber yang kuat, terutama bagi sistem pihak ketiga, untuk melindungi pengemudi dan menjaga kepercayaan pada teknologi kendaraan yang terhubung.”
Kaspersky merekomendasikan langkah-langkah penting untuk kontraktor, termasuk membatasi akses internet ke layanan web melalui VPN, mengisolasi layanan dari jaringan perusahaan, menerapkan kebijakan kata sandi yang ketat, menerapkan 2FA, mengenkripsi data sensitif, dan mengintegrasikan pencatatan dengan sistem SIEM untuk pemantauan waktu nyata.
Untuk produsen otomotif, Kaspersky menyarankan pembatasan akses platform telematika dari segmen jaringan kendaraan, penggunaan daftar izin untuk interaksi jaringan, penonaktifan autentikasi kata sandi SSH, menjalankan layanan dengan hak istimewa minimal, dan memastikan keaslian perintah di TCU, di samping integrasi SIEM.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
