多款马自达汽车型号的信息娱乐系统存在漏洞,可能允许黑客以根权限执行任意代码,趋势科技的零日漏洞计划(ZDI)警告称。
ZDI 解释说,这些问题存在是因为马自达连接性主控单元(CMU)系统没有正确清理用户提供的输入,这可能允许在车附近的黑客通过连接一个特制的 USB 设备向系统发送命令。
CMU 在改装社区中颇受欢迎,发布了软件调整以修改其操作,由维斯汀制造,运行最初由约翰逊控制公司开发的软件。
根据 ZDI 的说法,在软件版本 74.00.324A 中发现的缺陷可以结合使用,以“实现对信息娱乐系统的完全和持久的妥协”。早期的软件版本也可能受到影响。2014-2021 年款的马自达 3 及其他车型受到影响。
第一个安全漏洞被标记为CVE-2024-8355,存在的原因是,当新苹果设备连接时,CMU 从设备获取多个值,并在 SQL 语句中使用这些值而没有进行清理。
这使得黑客能够使用伪造的设备回复请求,发送特定命令,这些命令将在信息娱乐系统上以根权限执行,从而导致数据库操作、任意文件创建,甚至可能执行代码。
“ZDI 表示:‘由于输入的明显长度限制为 0x36 字节,利用此漏洞的可能性有所限制,但这可以通过让多个伪造的 iPod 一个接一个地连接来规避,每个 iPod 都用自己的注入 SQL 语句替代序列号。’”
另外三个不当输入清理漏洞,分别被标记为CVE-2024-8359、CVE-2024-8360 和 CVE-2024-8358,影响支持更新过程的功能,可能允许黑客“注入任意操作系统命令,这些命令将由主机操作系统的 shell 执行”,从而导致系统完全被攻陷。
第五个漏洞,标记为 CVE-2024-8357,存在于运行 Linux 的应用程序 SoC 中,因为未对操作系统启动步骤实施身份验证,允许攻击者操纵根文件系统、配置数据以及用于持久性、SSH 密钥安装和代码执行的引导代码。
第六个漏洞 CVE-2024-8356 影响了主机的第二个系统,即运行未指定操作系统的 MCU,该系统支持 CMU 功能,如 CAN 和 LIN 连接,并在 CMU 软件的字符串中被标识为 VIP。
在软件更新过程中,VIP 也会被更新,ZDI 发现可以操纵特定字符串,一旦被更新脚本接受,将导致验证一个被修改的固件镜像,该镜像将被重新编程回 VIP MCU。
“在更全球的意义上,这使得黑客能够通过安装一个精心制作的固件版本,从一个运行 Linux 的受损应用程序 SoC 转向 VIP MCU,并随后直接访问车辆的连接 CAN 总线,”ZDI 解释道。
通过一个包含要以其名义执行的操作系统命令的文件的 USB 设备,可以利用这些漏洞。
“文件名必须以 .up 结尾,以便被软件更新处理代码识别。虽然所有三个命令注入漏洞都是通过文件名进行利用,但最容易利用的无疑是 [CVE-2024-8359],因为没有特定的利用要求,例如构造的更新文件的有效性,”ZDI 表示。
此外,将 USB 大容量存储设备连接到车辆可能会自动触发软件更新过程,从而促进命令注入漏洞的利用。
黑客可以安装后门系统组件,以操控根文件系统以实现持久性,可以横向移动并安装精心制作的 VIP 微控制器软件,以获得“对车辆网络的无限制访问,可能影响车辆的操作和安全”。
ZDI 表示,这种攻击可以在实验室环境中在几分钟内完成,在现实场景中也不会花费太多时间,例如当汽车“被代客停车时、在共享乘车时,或通过 USB 恶意软件”,或在商店环境中。
“ZDI 指出,CMU 随后可能会被攻破并‘增强’,例如,试图在针对性攻击中攻破任何连接的设备,这可能导致拒绝服务、设备砖化、勒索软件、安全性妥协等问题。”
目前,数世咨询暂未搜索到马自达反馈,这些漏洞都没有被供应商修补。
热门跟贴