Неисправленные уязвимости в информационно-развлекательной системе автомобилей Mazda позволяют злоумышленникам выполнять произвольный код с правами root.
Об этом эксперты Trend Micro Zero Day Initiative (ZDI). Некоторые баги позволяют получить неограниченный доступ к системам авто, что потенциально может повлиять как на его работу, так и на безопасность.
Исследователи обнаружили уязвимости Mazda Connect Connectivity Master Unit производства Visteon, который укомплектован ПО, разработанным компанией Johnson Controls. В своих исследованиях специалисты изучали последнюю версию прошивки (74.00.324A).
Хотя официально версия 74.00.324A не содержит уязвимостей, существует большое сообщество моддеров, которые различными способами улучшают функциональность системы. И многие из этих твиков опираются на эксплуатацию уязвимостей.
Обнаруженные ZDI баги варьируются от SQL-инъекций и инъекций команд до неподписанного кода:
Как отмечает старший исследователь уязвимостей в ZDI Дмитрий Янушкевич, эксплуатация перечисленных проблем требует физического доступа к информационно-развлекательной системе автомобиля. Так, атакующий может подключиться к авто с помощью специального USB-устройства и осуществить атаку за считанные минуты.
Зачастую несанкционированный физический доступ к автомобилю получить не так уж трудно: это может произойти на парковке, во время обслуживания на СТО или в дилерском центре.
В итоге взлом информационно-развлекательной системы автомобиля с использованием перечисленных багов может привести к манипуляциям с БД, раскрытию информации, созданию произвольных файлов, внедрению произвольных команд, полной компрометации системы, закреплению злоумышленника в системе и выполнению произвольного кода до загрузки ОС.
Отдельно подчеркивается, что эксплуатация CVE-2024-8356 позволяет установить вредоносную версию прошивки, что дает потенциальному атакующему прямой доступ CAN-шинам и помогает добраться до блоков управления двигателем, тормозами, трансмиссией и так далее.
Также исследователи пишут, что целенаправленная атака может привести к компрометации подключенных устройств, отказу в обслуживании, полному выходу из строя и даже вымогательству.
В настоящее время ни одна из уязвимостей не была исправлена, и представители Mazda пока никак не прокомментировали публикацию специалистов ZDI.
Об этом эксперты Trend Micro Zero Day Initiative (ZDI). Некоторые баги позволяют получить неограниченный доступ к системам авто, что потенциально может повлиять как на его работу, так и на безопасность.
Исследователи обнаружили уязвимости Mazda Connect Connectivity Master Unit производства Visteon, который укомплектован ПО, разработанным компанией Johnson Controls. В своих исследованиях специалисты изучали последнюю версию прошивки (74.00.324A).
Хотя официально версия 74.00.324A не содержит уязвимостей, существует большое сообщество моддеров, которые различными способами улучшают функциональность системы. И многие из этих твиков опираются на эксплуатацию уязвимостей.
Обнаруженные ZDI баги варьируются от SQL-инъекций и инъекций команд до неподписанного кода:
- CVE-2024-8355 — SQL-инъекция в DeviceManager позволяет манипулировать базой данных, создавать произвольные файлы и выполнять код путем внедрения вредоносного input'а при подключении поддельного устройства Apple;
- CVE-2024-8359 — инъекция команд в REFLASH_DDU_FindFile позволяет выполнять произвольные команды в информационно-развлекательной системе, внедряя команды в пути к файлам input'а;
- CVE-2024-8360 — инъекция команд в REFLASH_DDU_ExtractFile так же позволяет выполнять произвольные команды через пути к файлам;
- CVE-2024-8358 — еще одна инъекция команд, на этот раз в UPDATES_ExtractFile, позволяет выполнить команду, внедрив ее в пути к файлам, используемым в процессе обновления;
- CVE-2024-8357 — отсутствие root-of-trust в App SoC и проверок безопасности в процессе загрузки позволяет злоумышленникам сохранить контроль над информационно-развлекательной системой после исходной атаки;
- CVE-2024-8356 — неподписанный код в VIP MCU позволяет загружать сторонние прошивки и перехватывать контроль над различными подсистемами автомобиля.
Как отмечает старший исследователь уязвимостей в ZDI Дмитрий Янушкевич, эксплуатация перечисленных проблем требует физического доступа к информационно-развлекательной системе автомобиля. Так, атакующий может подключиться к авто с помощью специального USB-устройства и осуществить атаку за считанные минуты.
Зачастую несанкционированный физический доступ к автомобилю получить не так уж трудно: это может произойти на парковке, во время обслуживания на СТО или в дилерском центре.
В итоге взлом информационно-развлекательной системы автомобиля с использованием перечисленных багов может привести к манипуляциям с БД, раскрытию информации, созданию произвольных файлов, внедрению произвольных команд, полной компрометации системы, закреплению злоумышленника в системе и выполнению произвольного кода до загрузки ОС.
Отдельно подчеркивается, что эксплуатация CVE-2024-8356 позволяет установить вредоносную версию прошивки, что дает потенциальному атакующему прямой доступ CAN-шинам и помогает добраться до блоков управления двигателем, тормозами, трансмиссией и так далее.
Также исследователи пишут, что целенаправленная атака может привести к компрометации подключенных устройств, отказу в обслуживании, полному выходу из строя и даже вымогательству.
В настоящее время ни одна из уязвимостей не была исправлена, и представители Mazda пока никак не прокомментировали публикацию специалистов ZDI.
