Source: Kaspersky ICS CERT — Contexte: publication de recherche (16 déc. 2025) décrivant l’évaluation de sécurité du SoC Unisoc UIS7862A intégré aux head units de véhicules chinois et à divers appareils mobiles.
Les chercheurs ont identifié plusieurs vulnérabilités critiques dans la pile protocolaire cellulaire du modem intégré. L’article se concentre sur une vulnérabilité de type dépassement de pile dans l’implémentation 3G RLC en mode UM, référencée CVE-2024-39432, permettant une exécution de code à distance (RCE) dès les premières étapes de connexion, avant l’activation des mécanismes de protection. Une section distincte mentionne également CVE-2024-39431 liée à l’accès distant au modem.
Sur le plan technique, l’attaque exploite le traitement des en-têtes optionnels des SDU RLC (mode UM), marqués par le bit E. En envoyant un unique paquet SDU contenant un nombre d’en-têtes excédant la profondeur de pile (≈90 en-têtes, chaque en-tête faisant 2 octets), l’attaquant provoque un dépassement de pile sans canari, permettant d’écraser l’adresse de retour (ARM en Thumb mode, LSB=1). Un paquet factice correctement formé déclenche le redémarrage du dispositif, signe d’un contrôle de flux détourné.
Pour la persistance et l’exploitation avancée, les auteurs utilisent le gestionnaire de commandes AT (commande SPSERVICETYPE) afin de manipuler la RAM, puis construisent une chaîne ROP pour écrire à l’adresse 0x8CE56218 et lire la configuration MPU. En jouant sur les chevauchements de régions MPU (priorité par ID), ils remappent une section de code en écriture, ce qui leur permet de patcher le gestionnaire du protocole NAS (commande MM Information) et d’établir une communication bidirectionnelle en s’appuyant sur MM Status (champ cause=0xAA) comme accusé de réception. ✅ Résultat: exécution fiable de code sur le modem (CP) et canal de messagerie via NAS.
Les chercheurs décrivent ensuite des voies d’escalade vers l’Application Processor (AP), notamment via un périphérique DMA caché permettant un déplacement latéral intra-SoC et l’injection de correctifs dans le noyau Android, jusqu’à l’exécution de code avec les plus hauts privilèges sur l’AP. La démonstration inclut l’exécution de Doom sur l’écran de l’unité centrale, illustrant l’impact potentiel sur la sécurité routière et la confidentialité des données. 🚗🔓
IOCs:
- Aucun indicateur technique (hash, IP, domaine) n’est fourni dans l’article.
TTPs clés:
- Initialisation: Exploitation d’un dépassement de pile dans 3G RLC UM via un SDU sur-segmenté (CVE-2024-39432).
- Livraison: Paquet SDU unique avec >90 en-têtes (bit E=1 jusqu’au dernier) pour écraser l’adresse de retour en Thumb mode.
- Post-exploitation: ROP + commande AT SPSERVICETYPE pour écrire/lire en RAM.
- Évasion/Persistance: Lecture/altération de la table MPU, remappage d’une section code en écriture, patch du handler NAS; canal C2 via NAS MM Information/Status (cause=0xAA).
- Mouvement latéral/Impact: DMA caché pour pivot CP → AP, patch du noyau Android, exécution avec privilèges élevés sur l’AP; démonstration par lancement de Doom.
Conclusion: publication de recherche technique visant à documenter des vulnérabilités baseband et une chaîne d’exploitation complète du SoC jusqu’au contrôle total de l’unité centrale.
🧠 TTPs et IOCs détectés
TTP
Exploitation d’un dépassement de pile dans 3G RLC UM via un SDU sur-segmenté (CVE-2024-39432); Paquet SDU unique avec >90 en-têtes (bit E=1 jusqu’au dernier) pour écraser l’adresse de retour en Thumb mode; ROP + commande AT SPSERVICETYPE pour écrire/lire en RAM; Lecture/altération de la table MPU, remappage d’une section code en écriture, patch du handler NAS; canal C2 via NAS MM Information/Status (cause=0xAA); DMA caché pour pivot CP → AP, patch du noyau Android, exécution avec privilèges élevés sur l’AP; démonstration par lancement de Doom.
IOC
Aucun indicateur technique (hash, IP, domaine) n’est fourni dans l’article.
🔗 Source originale : https://securelist.com/attacking-car-modem/118463/