Vulnerabilidad en el Bluetooth en las ECU en Toyota 2017 Model Year DCU (Display Control Unit) (CVE-2020-5551)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

30/03/2020

Última modificación:

03/04/2020

Descripción

Toyota 2017 Model Year DCU (Display Control Unit), permite a un atacante no autenticado dentro del alcance de Bluetooth causar un ataque de denegación de servicio y/o ejecutar un comando arbitrario. Las DCU afectadas se instalaron en Lexus (LC, LS, NX, RC, RC F), TOYOTA CAMRY y TOYOTA SIENNA fabricadas en regiones diferentes del Japón desde octubre de 2016 hasta octubre de 2019. Un atacante con cierto conocimiento sobre el sistema de control del vehículo objetivo puede ser capaz de enviar algunos comandos de diagnóstico hacia las ECU con algunos impactos de disponibilidad limitada; el vendedor declara que los controles críticos del vehículo, tales como conducir, girar y detenerse, no están afectadas.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vector 2.0

AV:A/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: AV:A/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico