System multimedialny BYD Dilink w wersjach v3.0–v4.0 nie ogranicza liczby prób logowania, co umożliwia atakującemu ominięcie uwierzytelniania przez atak bruteforce. Podatność uzyskała ocenę CVSS 9.8 (krytyczna) i może być wykorzystana zdalnie bez jakichkolwiek uprawnień.
▸ Pokaż oryginał (EN)
An issue in the BYD Dilink Headunit System v3.0 to v4.0 allows attackers to bypass authentication via a bruteforce attack.
Podatność (CWE-307) polega na braku mechanizmu ograniczania nadmiernych prób uwierzytelniania (brak blokady konta, CAPTCHA, limitu zapytań lub podobnych zabezpieczeń). Atakujący może wielokrotnie wysyłać żądania logowania, systematycznie testując kombinacje danych uwierzytelniających do momentu uzyskania dostępu. Ponieważ atak nie wymaga żadnej interakcji użytkownika ani wcześniejszych uprawnień, może być przeprowadzony w pełni zdalnie.
Skuteczne przeprowadzenie ataku daje atakującemu pełny dostęp do systemu headunit pojazdu BYD, co może skutkować naruszeniem poufności, integralności oraz dostępności danych i funkcji systemu — w tym potencjalnie funkcji związanych z pojazdem.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (byd.com, bydauto.com.cn). Do czasu aktualizacji zaleca się izolację systemu od niezaufanych sieci oraz monitorowanie prób logowania. Szczegóły podatności dostępne są w repozytorium: https://github.com/zgsnj123/BYD_headunit_vuls/tree/main
BYD Dilink Headunit System w wersjach od v3.0 do v4.0
Szczegóły techniczne podatności zostały opublikowane publicznie w repozytorium GitHub (zgsnj123/BYD_headunit_vuls), co może obniżyć próg wejścia dla potencjalnych atakujących.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H