Tek bir hata, binlerce arabayı hacker’lara teslim etti

Security Analyst Summit 2025'te Kaspersky, bir otomotiv üreticisinin tüm bağlı araçlarına yetkisiz erişim imkanı veren önemli bir güvenlik açığı bulgusunu paylaştı.

Araştırmaya göre, bir taşeronun herkese açık uygulamasındaki bir sıfır-gün güvenlik açığının kullanılmasıyla araç telematik sisteminin kontrolünün ele geçirilmesi mümkün hale geldi. Saldırganlar bu erişimle araç hareket halindeyken vites değiştirmeye zorlayabilir veya motoru kapatabilir. Bu bulgular, otomotiv sektöründeki potansiyel siber güvenlik zafiyetlerini gözler önüne serdi.

Sızma noktası: Taşeron altyapısı ve zayıf parola

Güvenlik denetimi, üreticinin herkese açık servisleri ile taşeronun altyapısını hedef alarak uzaktan gerçekleştirildi. Kaspersky, birden fazla açık web servisi tespit etti. Özellikle, wiki uygulamasında bulunan sıfır-gün SQL enjeksiyon açığı sayesinde, taşeron tarafındaki kullanıcıların şifre karmalarına erişim sağlandı; bazı şifrelerin zayıf parola politikaları nedeniyle kolayca tahmin edilebildiği belirtildi.

Bu ihlal, taşeronun sorun takip sistemine erişimi mümkün kıldı. Bu sistem, üreticinin telematik altyapısına dair hassas yapılandırma bilgileri ile birlikte, bir dosyada üreticinin araç telematik sunucularından birine ait kullanıcı şifre karmalarını içeriyordu. Telematik, modern araçlardan hız, konum ve benzeri verilerin toplanmasını, iletilmesini ve analiz edilmesini sağlayan kritik bir teknolojidir.

Nihai hedef: Kritik araç sistemlerinin manipülasyonu

Bağlı araç tarafında ise Kaspersky, yanlış yapılandırılmış bir güvenlik duvarı nedeniyle iç sunucuların internete açık hale geldiğini tespit etti. Daha önce ele geçirilen bir servis hesabı şifresi kullanılarak sunucunun dosya sistemine erişildi ve başka bir taşerona ait kimlik bilgileri bulundu; bu durum telematik altyapısı üzerinde kontrol sağladı.

Bulgular arasında en kritik olanı, araştırmacıların Telematik Kontrol Ünitesi'ne (TCU) değiştirilmiş donanım yazılımı (firmware) yüklemeye olanak tanıyan bir komut keşfetmesiydi. Bu, aracın CAN (Controller Area Network) veri yoluna – motor ve sensörler gibi kritik bileşenleri birbirine bağlayan sistem – erişimi sağladı ve motor, şanzıman gibi çeşitli diğer sistemlere erişim olanağı yarattı. Bu durum, kritik araç fonksiyonlarının manipüle edilmesine ve sürücü ile yolcu güvenliğinin tehlikeye atılmasına olanak tanıyor.

Kaspersky ICS CERT Güvenlik Açığı Araştırma ve Değerlendirme Başkanı Artem Zinenko, konuya ilişkin açıklamasında bu güvenlik açıklarının otomotiv sektöründe sık rastlanan zafiyetlerden kaynaklandığını belirtti: "Herkese açık web servisleri, zayıf şifreler, iki faktörlü doğrulamanın eksikliği ve şifrelenmemiş hassas veri depolama gibi sorunlar mevcut. Tek bir taşeron zafiyeti, tüm bağlı araçların güvenliğini tehdit edebilir."

Kaspersky, taşeron firmaların siber güvenlik seviyesini yükseltmeleri için bir dizi öneride bulundu: Web servislerine yalnızca VPN üzerinden erişim, servislerin kurumsal ağdan izole edilmesi, sıkı parola politikaları, iki faktörlü kimlik doğrulama (2FA) kullanımı ve hassas verilerin şifrelenmesi.

Ayrıca otomotiv üreticilerine yönelik tavsiyeler arasında, telematik platform erişiminin araç ağının diğer bölümlerinden ayrıştırılması, ağ etkileşimlerinde yalnızca izin verilen işlemlere olanak tanıyan 'izin listeleri'nin kullanılması ve TCU'ya gönderilen komutların kimlik doğrulamasının ve bütünlüğünün garanti altına alınması yer alıyor.