VULNERABILIDADES 0-DAY EN SERVICIO WEB DE BMW

Se han anunciado dos vulnerabilidades sin corregir relacionadas con el
servicio online de BMW ConnectedDrive, afectan tanto al dominio web de
BMW como al propio portal ConnectedDrive.

ConnectedDrive de BMW ofrece una amplia gama de servicios y aplicaciones
inteligentes que proporcionan información y entretenimiento durante el
viaje.

Los problemas han sido reportados por investigadores de Vulnerability
Labs (http://www.vulnerability-lab.com/), y ambos residen en servicios
web de BMW. El primero afecta a la aplicación web de ConnectedDrive
(https://www.bmw-connecteddrive.es/app/es/index.html#/portal) y reside
en una vulnerabilidad de validación de sesión en el procedimiento de
añadir un nuevo número de bastidor (o número VIN, Vehicle Identification
Number).

La validación no permite que se añadan números inexistentes a la
interfaz de configuración. Sin embargo, un atacante remoto puede cambiar
la información de creación o actualización mediante un ataque de
modificación de sesión. Esto permite evitar la excepción de un número
de bastidor erróneo y añadirlo a la configuración. De esta forma, el
atacante podrá adquirir y comprometer otros números de bastidor para
visualizar o manipular su configuración a través de ConnectedDrive.

Por otra parte, también se ha confirmado una vulnerabilidad de
cross-site scripting en la web de BMW y que podría afectar a cualquier
usuario del sistema. El problema reside en el valor ‘t’ (token) de la
página ‘passwordResetOk.html’ de la aplicación web y podría permitir a
un atacante ejecutar código script arbitrario.

Prueba de concepto:
https://www.bmw.es/home/publicPools/landingPages/passwordResetOk.html?t=OiWU9ARpVXDXDjlRJ3tS6XxgnOvkFzRK%22%3E%3Ciframe%20src=a%20onload=alert(%27XSS%27)%3E

Los investigadores de Vulnerability Labs reportaron los problemas al
fabricante alemán el pasado mes de febrero, y confirman una respuesta de
BMW en abril. Sin embargo tras más de tres meses sin ninguna
comunicación adicional y sin evidencias de corrección, han decidido
hacerlos públicos.

Cada vez los coches disponen de más sistemas informáticos, y ya muchos
disponen hasta de conexión a Internet. Esto expone al software del
automóvil a los mismos riesgos que cualquier otro sistema conectado a
la Red. No es la primera vez que BMW sufre un problema con el software
ConnectedDrive. El año pasado se vio obligada a actualizar el software
de más de 2 millones de coches de las marcas BMW, Mini y Rolls Royce
debido a una vulnerabilidad que podía facilitar a un atacante la
apertura del automóvil (entre otros problemas).

Los fabricantes de automóviles deben tomar conciencia de la importancia
que representa la seguridad del software del vehículo, y del externo al
vehículo (aplicaciones móviles o webs), y no cometer los mismos fallos
que la industria del software lleva años pagando.

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/07/vulnerabilidades-0-day-en-servicios-web.html

———————————–