Durante il Security Analyst Summit 2025, Kaspersky ha presentato i risultati di un audit di sicurezza che ha portato alla scoperta di una grave vulnerabilità in grado di consentire l’accesso non autorizzato a tutti i veicoli connessi di un produttore automobilistico.
Sfruttando una vulnerabilità zero-day in un’applicazione di un appaltatore accessibile al pubblico, i cybercriminali sono riusciti a ottenere il controllo del sistema telematico dei veicoli, compromettendo la sicurezza fisica di automobilisti e passeggeri. In alcuni casi, gli aggressori avrebbero potuto forzare il cambio di marcia o spegnere il motore mentre il veicolo era in movimento. Questi risultati mettono in luce gravi carenze nella sicurezza informatica del settore automotive e sollecitano l’adozione di misure di protezione più efficaci.
Produttore automobilistico
L’audit di sicurezza è stato condotto da remoto e ha riguardato i servizi accessibili al pubblico del produttore automobilistico e l’infrastruttura dell’appaltatore, per cui Kaspersky ha individuato diversi servizi web esposti. Inizialmente, sfruttando una vulnerabilità zero-day di tipo SQL injection presente in un’applicazione Wiki (una piattaforma web che permette agli utenti di creare, modificare e gestire contenuti in modalità collaborativa), gli esperti sono riusciti a estrarre l’elenco degli utenti del fornitore con gli hash delle loro password, alcune delle quali sono state decifrate a causa di una policy di sicurezza debole. Questa violazione ha consentito l’accesso al sistema di tracciamento dei progetti dell’appaltatore (uno strumento software utilizzato per gestire e monitorare attività, bug o problemi all’interno dei progetti), che conteneva dettagli di configurazione sensibili sull’infrastruttura telematica del produttore automobilistico, incluso un file contenente gli hash delle password degli utenti di uno dei server telematici dei veicoli. Nei veicoli moderni, la telematica consente la raccolta, la trasmissione, l’analisi e l’utilizzo di diversi tipi di dati, come velocità, posizione geografica e molto altro.
Il veicolo connesso
Per quanto riguarda il veicolo connesso, Kaspersky ha scoperto un firewall configurato in modo errato che esponeva i server interni del veicolo. Utilizzando una password di un account di servizio acquisita in precedenza, i ricercatori sono riusciti ad accedere al file system del server tramite le credenziali fornite da un altro appaltatore, ottenendo così il controllo completo dell’infrastruttura telematica. In particolare, è stato individuato un comando di aggiornamento del firmware che ha permesso agli esperti di caricare un firmware modificato nella Telematics Control Unit (TCU). Questo ha consentito l’accesso al bus CAN (Controller Area Network) del veicolo, un sistema che collega diverse componenti, come motore e sensori. Successivamente, è stato possibile accedere a vari altri sistemi, tra cui motore e trasmissione, permettendo la potenziale manipolazione di numerose funzioni critiche dell’auto, con conseguente rischio per la sicurezza di conducente e passeggeri.
“Le vulnerabilità della sicurezza derivano da problemi molto comuni nel settore automobilistico: servizi web accessibili al pubblico, password deboli, assenza di autenticazione a due fattori (2FA) e archiviazione di dati sensibili non crittografati. Questa violazione dimostra come un singolo punto debole nell’infrastruttura di un fornitore possa compromettere l’intero sistema dei veicoli connessi. L’industria automobilistica deve dare priorità a pratiche di sicurezza informatica solide, in particolare per i sistemi di terze parti, al fine di proteggere i conducenti e mantenere la fiducia nelle tecnologie dei veicoli connessi”, ha commentato Artem Zinenko, Head of ICS CERT Vulnerability Research and Assessment di Kaspersky.
Kaspersky raccomanda ai fornitori di limitare l’accesso a Internet dei servizi web tramite VPN, assicurandosi che tali servizi siano separati dalla rete aziendale. Suggerisce inoltre di applicare rigorose policy per le password, implementare l’autenticazione a due fattori, proteggere i dati sensibili e integrare la registrazione con un sistema SIEM per il monitoraggio in tempo reale.
Per i produttori automobilistici, Kaspersky consiglia di limitare l’accesso alla piattaforma telematica dal segmento di rete del veicolo, utilizzando liste di autorizzazione per le interazioni di rete, disabilitando l’autenticazione tramite password SSH, eseguendo i servizi con privilegi minimi e garantendo l’autenticità dei comandi nelle TCU, oltre a integrare il monitoraggio tramite SIEM.
