Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Denegación de servicio pre-autenticación en el FTP de la dashcam Audi UTR 2.0

Denegación de servicio pre-autenticación en el FTP de la dashcam Audi UTR 2.0

Por Deja un comentario

Se ha identificado una vulnerabilidad de desbordamiento de pila en el servicio FTP de la dashcam Audi UTR 2.0 que puede explotarse antes de autenticarse, provocando una denegación de servicio (DoS) del componente. El fallo ha sido catalogado como CVE-2025-45587. Fue reportado como parte de un análisis más amplio del dispositivo y quedó publicado el 13 de septiembre de 2025.

El fallo reside en la API de comandos de UTR 2.0 y se debe a controles de acceso inadecuados. Un atacante con presencia en la misma LAN/WLAN que la cámara puede autenticarse con credenciales débiles y lanzar comandos remotos expuestos por la propia aplicación de Audi, incluyendo: lectura de datos de usuario, restablecimiento de fábrica y disparo de un proceso de actualización de firmware hacia rutas como /sd/DSM_FW.muf. El escenario ha sido descrito por el investigador que publicó un informe con la enumeración de comandos y una línea temporal de divulgación responsable.

El error aparece al separar y almacenar el comando FTP y sus argumentos: si se envía un parámetro más grande que el tamaño del buffer, se produce un desbordamiento de pila. Aunque esto dificulta el control del flujo de ejecución sí permite bloquear el servicio.

El servicio vulnerable está expuesto en la red Wi-Fi del propio dispositivo; en las pruebas el equipo funcionaba como AP con la IP 192.168.1.1. El informe señala además que el entorno del UTR 2.0 expone varios puertos (entre ellos FTP y web).

El reporte de la vulnerabilidad consta de septiembre de 2024 según la cronología indicada en el informe:

  • 1–19 sep 2024: Se reportan 5 vulnerabilidades (incluida ésta).
  • 4 sep 2024 – 3 feb 2025: Intercambio con el fabricante.
  • 20 feb 2025: Se lanza una versión actualizada del producto; se solicitan detalles de cambios.
  • 14–17 mar 2025: Audi comparte una actualización de mejoras y planes.
  • 13 jun 2025: Asignación de CVE completada.
  • 13 sep 2025: Publicación del CVE. (Cronología completa en pág. 1).

Más información:

Acerca de Rubén García

Rubén García Rojas Ha escrito 20 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.