Kaspersky demonstra RCE em modem de head unit veicular

Pesquisa da Kaspersky demonstra uma cadeia de exploração que resulta em execução remota de código no modem Unisoc UIS7862A integrado a head units veiculares. A falha (CVE-2024-39432) permite overflow no RLC 3G, ROP e posterior movimentação ao Application Processor, possibilitando execução persistente demonstrada com a execução de Doom no infotainment. O relatório não lista montadoras afetadas nem sinais de exploração em ambiente real.

Pesquisadores da Kaspersky detalharam uma cadeia de exploração que permite execução remota de código (RCE) em modems integrados a head units de veículos, comprometendo a zona de comunicação celular e, em seguida, o sistema principal do infotainment.

Descoberta e escopo / O que mudou agora

O time liderado por pesquisadores da Kaspersky avaliou o SoC Unisoc UIS7862A — presente em head units de alguns veículos chineses e em dispositivos móveis de vários fabricantes — e identificou vulnerabilidades críticas no empilhamento do protocolo 3G (RLC) que permitem a execução de código remoto já nas fases iniciais de conexão.

A exploração documentada baseia-se em uma falha de estouro de buffer na implementação do RLC (referida como CVE-2024-39432 no relatório), que pode ser acionada com um único pacote SDU contendo um número excessivo de headers opcionais, provocando overflow na pilha e controle do fluxo de execução.

Vetor e exploração / Mitigações

O vetor inicial descrito pelos pesquisadores é a manipulação de frames RLC em modo UM (Unacknowledged Mode). Ao enviar um SDU com mais cabeçalhos do que a pilha espera, o atacante provoca sobrescrita da stack frame usada pelo handler, sem stack canary, permitindo overwrite de endereços de retorno em ARM/Thumb.

Com o controle inicial, a equipe usou técnicas de ROP (Return Oriented Programming) e comandos AT disponíveis (por exemplo, SPSERVICETYPE) para mover payloads à RAM e executar gadgets que alteram configurações MPU, desbloqueando regiões de memória para escrita e permitindo patchs no código do modem.

Os pesquisadores documentam ainda lateral movement do modem ao Application Processor (AP) do SoC via um periférico DMA "oculto" e manipulação do handler NAS/MM, tornando possível instalar código persistente no AP e comunicar-se via pacotes NAS (MM Status com campo causa igual a 0xAA, no exemplo).

Como demonstração do impacto final, o time conseguiu executar código suficiente para rodar o jogo Doom na head unit — prova de conceito que evidencia comprometimento do AP e do subsistema de infotainment.

Impacto e alcance / Setores afetados

O problema afeta o Unisoc UIS7862A conforme análise da Kaspersky; esse SoC é distribuído em múltiplos dispositivos e também aparece em head units de veículos chineses, segundo o relatório. Não há inventário preciso de fabricantes afetados no texto original — a exposição refere-se ao chipset e a uma amostra de head unit pesquisada.

Consequências práticas incluem comprometimento do sistema de entretenimento, possível interferência na disponibilidade de funções do veículo e riscos à privacidade, dependendo de quais interfaces o AP disponibiliza (logs, armazenamento, interfaces CAN/serial em implementações específicas). O relatório não afirma controle direto de componentes críticos de condução, e não há detalhamento de exploração em larga escala.

Limites das informações / O que falta saber

O relatório fornece uma descrição técnica detalhada da exploração no chipset e na head unit pesquisada, mas não lista quais montadoras ou modelos específicos utilizam exatamente a versão do hardware/firmware analisada. Também faltam dados públicos sobre a existência de exploits em ataques reais ou campanhas que tenham explorado essas falhas no campo.

Além disso, não há no documento um inventário amplo de firmware/versões vulneráveis que permita estimar número de veículos afetados; a equipa trabalhou em uma amostra concreta obtida do head unit para pesquisa.

Repercussão / Próximos passos

A Kaspersky publicou detalhes técnicos e indicou que a investigação completa, incluindo a exploração AR que levou à execução do Doom no dispositivo, está disponível em seus canais e no ICS CERT. Para mitigação imediata, as recomendações implícitas são: revisão de firmware de modems integrados, aplicação de correções a nível de SoC/modem e restrição de superfícies AT/NAS expostas se possível.

Fabricantes de head units e integradores automotivos devem mapear o uso de Unisoc UIS7862A em suas linhas, solicitar firmware atualizado aos fornecedores do SoC e avaliar controles de defesa em camadas (verificação de integridade, MPU/DEP, mitigação de ROP e segmentação de funções entre modem e AP).

Fonte: Kaspersky ICS CERT (artigo técnico publicado em 16/12/2025).

Observação técnica

O exploit descrito combina um estouro de pilha no RLC (CVE-2024-39432), técnicas ROP, exploração de AT commands e manipulação do MPU para tornar regiões executáveis/escrevíveis — sequência que exige conhecimento profundo do firmware do modem e acesso ao rádio celular usado como vetor de entrega.