Denegación de servicio pre-autenticación en el FTP de la dashcam Audi UTR 2.0

Tiempo estimado de lectura: 1 minutos, 11 segundos

Se ha identificado una vulnerabilidad de desbordamiento de pila en el servicio FTP de la dashcam Audi UTR 2.0 que puede explotarse antes de autenticarse, provocando una denegación de servicio (DoS) del componente. El fallo ha sido catalogado como CVE-2025-45587. Fue reportado como parte de un análisis más amplio del dispositivo y quedó publicado el 13 de septiembre de 2025.

El fallo reside en la API de comandos de UTR 2.0 y se debe a controles de acceso inadecuados. Un atacante con presencia en la misma LAN/WLAN que la cámara puede autenticarse con credenciales débiles y lanzar comandos remotos expuestos por la propia aplicación de Audi, incluyendo: lectura de datos de usuario, restablecimiento de fábrica y disparo de un proceso de actualización de firmware hacia rutas como /sd/DSM_FW.muf. El escenario ha sido descrito por el investigador que publicó un informe con la enumeración de comandos y una línea temporal de divulgación responsable.

El error aparece al separar y almacenar el comando FTP y sus argumentos: si se envía un parámetro más grande que el tamaño del buffer, se produce un desbordamiento de pila. Aunque esto dificulta el control del flujo de ejecución sí permite bloquear el servicio.

El servicio vulnerable está expuesto en la red Wi-Fi del propio dispositivo; en las pruebas el equipo funcionaba como AP con la IP 192.168.1.1. El informe señala además que el entorno del UTR 2.0 expone varios puertos (entre ellos FTP y web).

El reporte de la vulnerabilidad consta de septiembre de 2024 según la cronología indicada en el informe:

1–19 sep 2024: Se reportan 5 vulnerabilidades (incluida ésta).
4 sep 2024 – 3 feb 2025: Intercambio con el fabricante.
20 feb 2025: Se lanza una versión actualizada del producto; se solicitan detalles de cambios.
14–17 mar 2025: Audi comparte una actualización de mejoras y planes.
13 jun 2025: Asignación de CVE completada.
13 sep 2025: Publicación del CVE. (Cronología completa en pág. 1).

Más información:

Informe del investigador: https://2barbie.notion.site/2024-Audi-UTR-2-0-Report-1bff0be688c680cb8795efe78732f8b9
NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-45587

La entrada Denegación de servicio pre-autenticación en el FTP de la dashcam Audi UTR 2.0 se publicó primero en Una Al Día.

Artículo de Rubén García publicado en https://unaaldia.hispasec.com/2025/09/denegacion-de-servicio-pre-autenticacion-en-el-ftp-de-la-dashcam-audi-utr-2-0.html?utm_source=rss&utm_medium=rss&utm_campaign=denegacion-de-servicio-pre-autenticacion-en-el-ftp-de-la-dashcam-audi-utr-2-0

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Denegación de servicio pre-autenticación en el FTP de la dashcam Audi UTR 2.0

Contenidos relacionados

Retos del sector UAS sobre tramitación y normativa: normativa base, desafíos y escenario frontera

Certificados EV: el nuevo camuflaje del malware en macOS

Septiembre de 2025: ataques cibernéticos más grandes, ataques de ransomware e violaciones de datos

You missed

Cristina Sancho, nueva Corporate Affairs & Public Relations Manager de Karnov Group AB

David Montoya Medina, catedrático de Derecho del Trabajo, nuevo of counsel de Devesa Abogados

Gabriela Melgarejo se reincorpora a Altra Legal para lanzar el departamento de Tech & Innovation

Bird & Bird asesora a Bpifrance en la ronda de financiación de ARTHEx Biotech para la ampliación de la Serie B por 87 millones de dólares

Entradas recientes

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo

Denegación de servicio pre-autenticación en el FTP de la dashcam Audi UTR 2.0

Contenidos relacionados

Retos del sector UAS sobre tramitación y normativa: normativa base, desafíos y escenario frontera

Certificados EV: el nuevo camuflaje del malware en macOS

Septiembre de 2025: ataques cibernéticos más grandes, ataques de ransomware e violaciones de datos

You missed

Cristina Sancho, nueva Corporate Affairs & Public Relations Manager de Karnov Group AB

David Montoya Medina, catedrático de Derecho del Trabajo, nuevo of counsel de Devesa Abogados

Gabriela Melgarejo se reincorpora a Altra Legal para lanzar el departamento de Tech & Innovation

Bird & Bird asesora a Bpifrance en la ronda de financiación de ARTHEx Biotech para la ampliación de la Serie B por 87 millones de dólares

¿Todas tus actividades de auditoría en un solo entorno? Prueba AltonaSpain, el gestor de auditoría más completo

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo