Una vulnerabilidad crítica en el sistema de seguridad de vehículos Tesla Model 3 ha expuesto miles de automóviles a posibles ataques remotos, revelaron los investigadores de ciberseguridad esta semana.
Con el CVE-2025-2082 especificado, este defecto permite a los atacantes dentro del rango inalámbrico ejecutar código arbitrario en el módulo de seguridad del controlador del vehículo (VCSEC) del vehículo, un componente que controla funciones críticas como la inmovilización y el monitoreo de la presión de los neumáticos.
El defecto es causado por un desbordamiento entero en el procesamiento de datos de certificados del Sistema de Monitoreo de presión de neumáticos (TPMS) del módulo VCSEC.
Los atacantes pueden explotar esto enviando mensajes TPMS manipulados, causando la corrupción de la memoria que evita las verificaciones de seguridad.
Esto le brinda acceso al bus de red del área del controlador (CAN), lo que permite comandos no autorizados, como desbloquear puertas y deshabilitar los inmovilizadores.
Puntuación CVSS: 7.5 (alto). Vector de ataque: redes adyacentes (no se requiere autenticación). Modelos afectados: Tesla Model 3 Vehículos que ejecutan versiones de firmware antes de 2024.14.
Descubrimiento y divulgación
Los investigadores revelaron la vulnerabilidad en la competencia de piratería de 2024 por las firmas de ciberseguridad Synacktiv-Thomas Imbert, Vincent Dehors y David Berard-During.
Su cadena de exploits mostró cómo los sensores TPMS, típicamente utilizados para las alertas de presión de los neumáticos, sirven como puntos de entrada para secuestrar módulos VCSEC a través de protocolos Bluetooth de baja energía (BLE) y ultra ancha (UWB).
El análisis técnico de SynackTiv reveló cómo las respuestas de certificados incorrectos pueden sobrescribir la memoria de VCSEC, lo que lleva a la ejecución de código remoto.
El equipo publicó una recomendación pública coordinada el 30 de abril de 2025 y en marzo de 2024, su seriedad revelará los fallas a Tesla.
Tesla abordó una vulnerabilidad en la actualización de firmware 2024.14, que se lanzó poco después de su divulgación.
El parche cambia la lógica de validación del certificado para evitar el desbordamiento entero y la corrupción de la memoria. Se aconseja a los propietarios que se aseguren de que el vehículo se actualice a través de un parche inalámbrico (OTA).
El incidente subraya las crecientes preocupaciones sobre la seguridad de los vehículos conectados. VCSEC Exploit destaca cómo los sistemas no críticos como TPM se convierten en vectores de ataque por seguridad para socavar los componentes críticos.
Importantes para llevar:
Las integraciones de terceros (por ejemplo, TPM) requieren estrictas auditorías de seguridad. La superficie de ataque inalámbrico (BLE/UWB) requiere un cifrado y verificación robustos. La investigación sobre automóviles de día cero es importante a medida que los vehículos evolucionan en plataformas definidas por software.
El rápido despliegue de parche de Tesla refleja su actitud de seguridad madura, pero este descubrimiento se suma a un conjunto reciente de vulnerabilidades de automóviles.
Solo en 2024, los investigadores demostraron hazañas dirigidas a sistemas de información y entretenimiento, entradas sin llave y módulos de conducción autónomos en múltiples fabricantes.
A medida que los vehículos se interconectan más, los fabricantes de automóviles enfrentan presión para adoptar principios de diseño por diseño, asegurando que incluso los sistemas periféricos se fortalezcan contra la explotación.
Por ahora, los propietarios de Tesla pueden mitigar el riesgo aplicando rápidamente actualizaciones y evitando accesorios de terceros no autorizados.
Esta vulnerabilidad sirve como un duro recordatorio. En la era de los autos inteligentes, todos los sensores son puertas de enlace potenciales.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
