Pesquisadores da Kaspersky identificaram vulnerabilidades críticas no sistema de infoentretenimento MBUX (Mercedes-Benz User Experience) de primeira geração. Esses problemas afetam diretamente a Unidade Principal do sistema, potencialmente permitindo ações como desabilitar proteções antirroubo, modificar configurações e até desbloquear serviços pagos.
A análise foi baseada em um estudo anterior do KeenLab sobre componentes internos do MBUX. Os especialistas utilizaram softwares de diagnóstico para examinar a arquitetura dos veículos, analisar a Unidade de Controle Eletrônico (ECU) e testar funções via Diagnostic Over Internet Protocol (DoIP).
Componentes do MBUX
O sistema MBUX é composto por vários módulos principais:
- MMB (Multi Media Board): núcleo que abriga subsistemas principais.
- BB (Base Board): responsável por comunicações em rede.
- CSB (Country Specific Board): extensão do sistema conectada ao MMB via Ethernet interna.
- Módulo RH850: facilita a comunicação entre barramentos de baixo nível.
Para os testes, os pesquisadores usaram um Mercedes B180 real e um banco de testes específico, projetado para avaliar hardware e software.
Principais vulnerabilidades descobertas
Os especialistas detectaram brechas que podem ser exploradas para realizar ataques de Negação de Serviço (DoS), injeção de comandos, elevação de privilégios e roubo de dados. Abaixo, estão algumas das falhas identificadas:
- CVE-2024-37602, CVE-2024-37600, CVE-2024-37603, CVE-2024-37601
- CVE-2023-34406 a CVE-2023-34404
Impactos identificados:
- Acesso físico: Um invasor pode desabilitar proteções antirroubo ou modificar configurações por conexões USB ou IPC personalizadas.
- Desbloqueio de serviços pagos: Exploração de vulnerabilidades para liberar funções adicionais no veículo sem custo.
- Cenários de uso malicioso: Incluem desde atividades criminosas até testes conduzidos por especialistas em segurança.
Riscos de ataques remotos
Estudos anteriores do KeenLab, realizados em 2019, já haviam identificado cinco vulnerabilidades críticas no MBUX. Esses problemas, rastreados como CVE-2021-23906 a CVE-2021-23910, incluíam falhas em funções como Wi-Fi, Bluetooth e USB.
Embora nenhuma vulnerabilidade permitisse o controle físico completo dos veículos, os pesquisadores mostraram que invasores poderiam usar bugs de software para interferir em funções específicas, como proteção antirroubo e controle de recursos de infoentretenimento.
Conclusões e recomendações
Os relatórios técnicos detalham cenários de ataques bem-sucedidos e sugerem atualizações nos sistemas para mitigar riscos. É fundamental que fabricantes, como a Mercedes-Benz, adotem medidas proativas para proteger seus sistemas e manter a segurança de seus clientes.
Para mais informações técnicas sobre as falhas identificadas, acesse o repositório oficial no GitHub: Kaspersky Security Advisories.