Vulnerabilidad crítica en el FTP de Audi UTR 2.0

Denegación de servicio pre-autenticación en el FTP de la dashcam Audi UTR 2.0

Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Alta

Conclusiones clave

• Vulnerabilidad crítica de desbordamiento de pila en el servicio FTP de la cámara Audi UTR 2.0.
• Explotable sin necesidad de autenticación previa, causando una denegación de servicio (DoS).
• La vulnerabilidad CVE-2025-45587 fue publicada el 13 de septiembre de 2025 tras un análisis exhaustivo.
• Residencia en la API de comandos de UTR 2.0, permitiendo la ejecución de comandos remotos por atacantes.
• Los dispositivos comprometidos interactúan a través de la red Wi-Fi, exponiendo múltiples puertos.

Índice

1. Descripción de la vulnerabilidad
2. Cronología de eventos
3. Referencias

Descripción de la vulnerabilidad

Se ha detectado una vulnerabilidad crítica de desbordamiento de pila en el servicio FTP de la cámara de salpicadero Audi UTR 2.0, que puede ser explotada sin necesidad de autenticación previa, resultando en una denegación de servicio (DoS) del componente afectado. Este fallo ha sido catalogado como CVE-2025-45587 y se hizo público el 13 de septiembre de 2025, tras un análisis exhaustivo del dispositivo.

La vulnerabilidad se origina en la API de comandos de UTR 2.0 y obedece a una inadecuada implementación de controles de acceso. Un atacante que se encuentre en la misma red LAN/WLAN que la cámara puede utilizar credenciales débiles para autenticarse y emitir comandos remotos disponibles gracias a la aplicación de Audi. Estos comandos incluyen operaciones como la lectura de datos del usuario, un restablecimiento de fábrica y la ejecución de actualizaciones de firmware mediante rutas específicas como /sd/DSM_FW.muf.

El investigador responsable del hallazgo ha documentado esta problemática en un informe que incluye una lista de los comandos afectados y una cronología sobre su divulgación responsable. La vulnerabilidad se manifiesta al separar y almacenar el comando FTP junto con sus argumentos: al enviar un parámetro que excede el tamaño del buffer, se desencadena un desbordamiento de pila. Aunque esta situación complica el control del flujo de ejecución, permite, sin embargo, bloquear el servicio.

Dicha vulnerabilidad reside en el servicio que está accesible a través de la red Wi-Fi del dispositivo; en las pruebas realizadas, el dispositivo operaba como un punto de acceso con la dirección IP 192.168.1.1. El informe también resalta que el entorno del UTR 2.0 expone múltiples puertos, incluidos los de FTP y servicios de web.

Cronología de eventos

En cuanto a la cronología relacionada con la vulnerabilidad, se remonta a septiembre de 2024, como se detalla a continuación:

1. 1–19 septiembre 2024: Se reportan cinco vulnerabilidades (incluyendo esta específica).
2. 4 septiembre 2024 – 3 febrero 2025: Interacciones con el fabricante.
3. 20 febrero 2025: Lanzamiento de una versión del producto actualizada; se solicitan detalles sobre los cambios realizados.
4. 14–17 marzo 2025: Audi proporciona una actualización sobre mejoras y planes futuros.
5. 13 junio 2025: Asignación del CVE finalizada.
6. 13 septiembre 2025: Publicación del CVE.

Referencias

Para más información, se puede consultar el informe del investigador.