koranindopos.com, JAKARTA – Kaspersky memaparkan hasil audit yang mengungkap kelemahan keamanan signifikan yang memungkinkan akses tanpa izin ke semua kendaraan terhubung milik salah satu produsen otomotif. Dengan mengeksploitasi kerentanan zero-day pada aplikasi kontraktor yang dapat diakses publik, kendali atas sistem telematika kendaraan dapat diperoleh, sehingga membahayakan keselamatan fisik pengemudi dan penumpang. Misalnya, penyerang dapat memaksa perpindahan gigi atau mematikan mesin saat kendaraan sedang berjalan. Temuan ini menyoroti potensi kelemahan keamanan siber di industri otomotif, yang mendorong himbauan untuk langkah-langkah keamanan yang lebih ketat.
Pihak Produsen Mobil
Audit keamanan dilakukan dari jarak jauh dan menargetkan layanan publik milik produsen dan infrastruktur kontraktor. Kaspersky mengidentifikasi beberapa layanan web yang terekspos. Pertama, melalui kerentanan injeksi SQL zero-day pada aplikasi wiki (platform berbasis web yang memungkinkan pengguna untuk membuat, mengedit, dan mengelola konten secara kolaboratif), para peneliti berhasil mengekstrak daftar pengguna di pihak kontraktor dengan hash kata sandi, beberapa di antaranya ditebak karena kebijakan kata sandi yang lemah. Pelanggaran ini memberikan akses ke sistem pelacakan masalah kontraktor (alat perangkat lunak yang digunakan untuk mengelola dan melacak tugas, bug, atau masalah dalam suatu proyek), yang berisi detail konfigurasi sensitif tentang infrastruktur telematika pabrikan, termasuk berkas berisi kata sandi hash dari pengguna salah satu server telematika kendaraan pabrikan. Pada mobil modern, telematika memungkinkan pengumpulan, transmisi, analisis, dan pemanfaatan berbagai data (misalnya, kecepatan, geolokasi, dll.) dari kendaraan yang terhubung.
Sisi kendaraan yang terhubung
Di sisi kendaraan yang terhubung, Kaspersky menemukan firewall yang salah konfigurasi sehingga mengekspos server internal. Dengan menggunakan kata sandi akun layanan yang diperoleh sebelumnya, para peneliti mengakses sistem berkas server dan menemukan kredensial kontraktor lain, yang memberikan kendali penuh atas infrastruktur telematika. Yang paling mengkhawatirkan, para peneliti menemukan perintah pembaruan firmware yang memungkinkan mereka mengunggah firmware yang dimodifikasi ke Unit Kontrol Telematika (TCU). Hal ini memberikan akses ke bus CAN (Controller Area Network) kendaraan – sebuah sistem yang menghubungkan berbagai bagian kendaraan, seperti mesin dan sensor. Setelah itu, berbagai sistem lain diakses, termasuk mesin, transmisi, dll. Hal ini memungkinkan potensi manipulasi berbagai fungsi penting kendaraan, yang dapat membahayakan keselamatan pengemudi dan penumpang.
“Kelemahan keamanan ini berasal dari masalah yang cukup umum di industri otomotif: layanan web yang dapat diakses publik, lemahnya kata sandi, kurangnya autentikasi dua faktor (2FA), dan penyimpanan data sensitif yang tidak terenkripsi. Pelanggaran ini menunjukkan bagaimana satu titik lemah dalam infrastruktur kontraktor dapat mengakibatkan peretasan total terhadap semua kendaraan yang terhubung. Industri otomotif harus memprioritaskan praktik keamanan siber yang kuat, terutama bagi sistem pihak ketiga, untuk melindungi pengemudi dan menjaga kepercayaan pada teknologi kendaraan yang terhubung,” komentar Artem Zinenko, Kepala Penelitian dan Penilaian Kerentanan Kaspersky ICS CERT.
Kaspersky merekomendasikan agar kontraktor membatasi akses internet ke layanan web melalui VPN, mengisolasi layanan dari jaringan perusahaan, menerapkan kebijakan kata sandi yang ketat, menerapkan 2FA, mengenkripsi data sensitif, dan mengintegrasikan pencatatan dengan sistem SIEM untuk pemantauan waktu nyata.
Untuk produsen otomotif, Kaspersky menyarankan untuk membatasi akses platform telematika dari segmen jaringan kendaraan, menggunakan daftar izin untuk interaksi jaringan, menonaktifkan autentikasi kata sandi SSH, menjalankan layanan dengan hak istimewa minimal, dan memastikan keaslian perintah di TCU, di samping integrasi SIEM. (rls/sh)
