Un equipo de especialistas de una empresa de ciberseguridad ha reportado el hallazgo de una vulnerabilidad de exposición de información confidencial a través de los datos enviados por los buses Power Line Communication (PLC) desarrollados por múltiples fabricantes de remolques y frenos.
En una investigación publicada recientemente, la National Motor Freight Traffic Association (NMFTA) detalla que la vulnerabilidad reside en el bus para la transmisión de señales PLC empleados por la gran mayoría de la industria del transporte de carga. Los especialistas señalan que es posible interceptar las señales PLC empleando antenas a una distancia de hasta 2.6 metros, dependiendo de las condiciones meteorológicas.
Además, los expertos de la empresa de ciberseguridad creen que implementando algunas mejoras en el receptor será posible incrementar la distancia de un ataque. Respecto al daño de un ataque potencial, esto depende en buena medida de la información enviada por las ECU en el bus PLC del remolque afectado; por lo general, el tráfico de estos dispositivos sólo tiene que ver con fallas en los sistemas ABS, por lo que los expertos no creen que la confidencialidad de los usuarios se vea comprometida.
Aunque el daño que este ataque podría generar es mínimo, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) consideró que era necesario lanzar esta alerta como una forma de concientizar a los fabricantes sobre esta clase de ataques y así prevenir cualquier pérdida de información confidencial abusando de las fallas en los sistemas PLC (un ejemplo sería la obtención de información sobre las configuraciones de un remolque).
La falla fue identificada como CVE-2020-14514 y recibió un puntaje de 4.3/10; como se menciona anteriormente, el riesgo de explotación es reducido dadas las condiciones requeridas para el ataque.
Por ahora se desconoce la existencia de soluciones alternativas para mitigar el impacto de esta falla, aunque en el reporte de la NMFTA se menciona que los fabricantes podrían reducir las emisiones PLC implementando rangos menores y un voltaje de transmisión reducido. Por otra parte, los expertos de la empresa de ciberseguridad que colaboran con CISA recomiendan tomar en cuenta algunas medidas preventivas, principalmente en lo relacionado con la evaluación de la confidencialidad esperada del tráfico PLC presente en un remolque o tráiler potencialmente afectado.