El Department of Homeland Security de los estados unidos ha publicado una alerta avisando a los propietarios de aviones pequeños y pidiendo que realicen las mitigaciones recomendadas para evitar que un atacante se aproveche de la vulnerabilidad para tomar el control de la avioneta.

La vulnerabilidad descubierta y publicada en este reporte de Rapid7, reside en las implementaciones modernas del bus de datos CAN (Controller Area Network), un popular estándar de redes que se aplica en algunos vehículos y aeronaves que posibilita que los microcontroladores y dispositivos se comuniquen entre sí.

La investigación llevada a cabo en los laboratorios de Rapid7 empleó el el uso de dos sistemas de dos fabricantes distintos para realizar el ataque. Lo que encontraron fue:

Fabricante X

En la implementación realizada por el que llamaremos: Fabricante X, se descubrió que el CAN ID 0x205 era el responsable de la presión y temperatura del aceite además de las lecturas de temperatura de dos culatas. Enviando un mensaje elaborado utilizando este CAN ID, en Rapid7 fueron capaces de enviar mensajes falsos relativos a la presión, temperatura del aceite y lecturas falsas de la temperatura de dos culatas.

También se identificaron, para esta implementación, algunos CAN ID más como el 0x241 que es el encargado de la brújula o los 0x281-284, encargados de la altitud y el sistema de referencia de rumbo (AHRS), actuando el AHRS como nodo 1. Los nodos 2,3 y 4 hacían referencia a los IDs 0x291-294, 0x2A1-2A4 y 0x2B1-2B4 respectivamente.

Los mensajes de AHRS fueron modificados mediante ingeniería inversa utilizando mensajes de falsificados de unidades AHRS inexistentes, logrando cambiar la altitud de la aeronave mostrada, lo que muestra una posición incorrecta de la avioneta.

La naturaleza del bus de datos CAN permite a cualquier dispositivo con acceso físico a los a los CANs enviar mensajes falsos al bus. Los paquetes CAN no disponen de ninguna dirección de destino ni ningún otro mecanismo de autenticación, lo que presenta el problema de no poder identificar quién está enviando dichos mensajes. Esta característica lo hace especialmente sencillo de implementar, pero dificulta mucho su configuración de forma segura al utilizar un medio compartido y, como hemos hecho alusión, no presentar ningún mecanismo de identificación.

Fabricante Y

Por otro lado, en la implementación realizada por el que llamaremos Fabricante Y, Rapid7 identificó el CAN ID 0x10342200 era el encargado de controlar y mostrar la presión del aceite. Rapid7 fue capaz de mostrar cómo, creando mensajes elaborados y utilizando este CAN ID, eran capaces de enviar lecturas falsas relativas a la presión del aceite.

También se detectó que la brújula electrónica utilizaba CAN ID 0x10A8200 y 0x10A82100 para estos mensajes. El CAN ID 0x10A8200 actuó como un paquete de encabezado, con el tercer byte actuando como un indicador de longitud. Los campos de rumbo magnético, tiempo y fuerza del campo magnético fueron modificados por técnicas de análisis de protocolo estándar.

Algunas mitigaciones

Como se ha visto, muchas de estas vulnerabilidades derivan de problemas de seguridad física. El DHS así lo menciona y da algunas recomendaciones en la sección de «Mitigations» de la alerta publicada. Entre sus propuestas como posibles mitigaciones tenemos:

• Restringir lo mejor posible los accesos físicos a las aeronaves.
• Realizar un análisis de impacto y uno de evacuación para así poder elaborar medidas de seguridad efectivas

Más información:

ICS Alert (ICS-ALERT-19-211-01)
https://www.us-cert.gov/ics/alerts/ics-alert-19-211-01

Investigating CAN Bus Network Integrity in Avionics Systems
https://www.rapid7.com/research/report/investigating-can-bus-network-integrity-in-avionics-systems/