Неисправленные уязвимости в информационно-развлекательной системе автомобилей Mazda позволяют злоумышленникам выполнять произвольный код с правами root, сообщили эксперты Trend Micro Zero Day Initiative (ZDI). Некоторые баги позволяют получить неограниченный доступ к системам авто, что потенциально может повлиять как на его работу, так и на безопасность.
Исследователи обнаружили уязвимости Mazda Connect Connectivity Master Unit производства Visteon, который укомплектован ПО, разработанным компанией Johnson Controls. В своих исследованиях специалисты изучали последнюю версию прошивки (74.00.324A).
Хотя официально версия 74.00.324A не содержит уязвимостей, существует большое сообщество моддеров, которые различными способами улучшают функциональность системы. И многие из этих твиков опираются на эксплуатацию уязвимостей.
Обнаруженные ZDI баги варьируются от SQL-инъекций и инъекций команд до неподписанного кода:
- CVE-2024-8355 — SQL-инъекция в DeviceManager позволяет манипулировать базой данных, создавать произвольные файлы и выполнять код путем внедрения вредоносного input'а при подключении поддельного устройства Apple;
- CVE-2024-8359 — инъекция команд в REFLASH_DDU_FindFile позволяет выполнять произвольные команды в информационно-развлекательной системе, внедряя команды в пути к файлам input'а;
- CVE-2024-8360 — инъекция команд в REFLASH_DDU_ExtractFile так же позволяет выполнять произвольные команды через пути к файлам;
- CVE-2024-8358 — еще одна инъекция команд, на этот раз в UPDATES_ExtractFile, позволяет выполнить команду, внедрив ее в пути к файлам, используемым в процессе обновления;
- CVE-2024-8357 — отсутствие root-of-trust в App SoC и проверок безопасности в процессе загрузки позволяет злоумышленникам сохранить контроль над информационно-развлекательной системой после исходной атаки;
- CVE-2024-8356 — неподписанный код в VIP MCU позволяет загружать сторонние прошивки и перехватывать контроль над различными подсистемами автомобиля.
Известно, что баги затрагивают автомобили Mazda 3, выпущенные с 2014 по 2021 годы, а также другие модели производителя.
Как отмечает старший исследователь уязвимостей в ZDI Дмитрий Янушкевич, эксплуатация перечисленных проблем требует физического доступа к информационно-развлекательной системе автомобиля. Так, атакующий может подключиться к авто с помощью специального USB-устройства и осуществить атаку за считанные минуты.
Исследователь пишет, что зачастую несанкционированный физический доступ к автомобилю получить не так уж трудно: это может произойти на парковке, во время обслуживания на СТО или в дилерском центре.
В итоге взлом информационно-развлекательной системы автомобиля с использованием перечисленных багов может привести к манипуляциям с БД, раскрытию информации, созданию произвольных файлов, внедрению произвольных команд, полной компрометации системы, закреплению злоумышленника в системе и выполнению произвольного кода до загрузки ОС.
Отдельно подчеркивается, что эксплуатация CVE-2024-8356 позволяет установить вредоносную версию прошивки, что дает потенциальному атакующему прямой доступ CAN-шинам и помогает добраться до блоков управления двигателем, тормозами, трансмиссией и так далее.
«В широком смысле это позволяет злоумышленнику перейти от скомпрометированного SoC-приложения под управлением Linux к VIP MCU, установив специально подготовленную версию прошивки и впоследствии получив прямой доступ к подключенным CAN-шинам», — поясняют в ZDI.
Также исследователи пишут, что целенаправленная атака может привести к компрометации подключенных устройств, отказу в обслуживании, полному выходу из строя и даже вымогательству.
В настоящее время ни одна из уязвимостей не была исправлена, и представители Mazda пока никак не прокомментировали публикацию специалистов ZDI.