CVE-2026-49316
ŚrednieCVSS 4.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
Podatność w sieci wewnętrznej motocykla Indian Motorcycle Scout Bobber + Tech (model 2025) umożliwia atakującemu z sąsiedniej sieci ominięcie blokady antykradzieżowej poprzez zmuszenie modułu WCM do przejścia w stan CAN bus-off. Atak wykorzystuje technikę wstrzykiwania ramek błędów CAN, co powoduje zatrzymanie transmisji wszystkich komunikatów przez WCM, w tym komendy wyłączenia silnika. Pozostałe moduły nie interpretują braku transmisji jako zdarzenia bezpieczeństwa i kontynuują normalną pracę, umożliwiając uruchomienie motocykla bez odblokowania immobilizera.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży motocykla przez atakującego znajdującego się w zasięgu sieci CAN, bez konieczności fizycznego dostępu do kluczyka lub immobilizera. Atak może być przeprowadzony zdalnie z pobliskiego pojazdu lub urządzenia.
Rekomendacja
Zaleca się natychmiastowe zastosowanie poprawek dostarczonych przez producenta oraz wdrożenie mechanizmów wykrywania i zapobiegania atakom typu CAN bus-off, takich jak monitorowanie liczników błędów transmisji i implementacja timeoutów dla krytycznych komunikatów.
Oryginalny opis (angielski, źródło NVD)
Expected behavior violation in the in-vehicle network of the Indian Motorcycle Scout Bobber + Tech 2025 model year allows an adjacent-network attacker to bypass the motorcycle's anti-theft shutdown by forcing the Wireless Control Module (WCM) into the CAN bus-off state. Using a well-known CAN error-frame injection technique against a periodic WCM transmission, the attacker drives the WCM CAN controller's transmit error counter past the bus-off threshold, after which the WCM stops transmitting all messages, including the shutdown command. Peer ECUs do not interpret WCM silence as a security event and continue normal operation, allowing the motorcycle to be operated despite the immobilizer never having been unlocked. Specific protocol details have been withheld pending vendor remediation.

