Неисправленные уязвимости в информационно-развлекательной системе автомобилей Mazda позволяют злоумышленникам выполнять произвольный код с правами root, сообщили эксперты Trend Micro Zero Day Initiative (ZDI). Некоторые баги позволяют получить неограниченный доступ к системам авто, что потенциально может повлиять как на его работу, так и на безопасность.

Исследователи обнаружили уязвимости Mazda Connect Connectivity Master Unit производства Visteon, который укомплектован ПО, разработанным компанией Johnson Controls. В своих исследованиях специалисты изучали последнюю версию прошивки (74.00.324A).

Хотя официально версия 74.00.324A не содержит уязвимостей, существует большое сообщество моддеров, которые различными способами улучшают функциональность системы. И многие из этих твиков опираются на эксплуатацию уязвимостей.

Обнаруженные ZDI баги варьируются от SQL-инъекций и инъекций команд до неподписанного кода:

  • CVE-2024-8355 — SQL-инъекция в DeviceManager позволяет манипулировать базой данных, создавать произвольные файлы и выполнять код путем внедрения вредоносного input'а при подключении поддельного устройства Apple;
  • CVE-2024-8359 — инъекция команд в REFLASH_DDU_FindFile позволяет выполнять произвольные команды в информационно-развлекательной системе, внедряя команды в пути к файлам input'а;
  • CVE-2024-8360 — инъекция команд в REFLASH_DDU_ExtractFile так же позволяет выполнять произвольные команды через пути к файлам;
  • CVE-2024-8358 — еще одна инъекция команд, на этот раз в UPDATES_ExtractFile, позволяет выполнить команду, внедрив ее в пути к файлам, используемым в процессе обновления;
  • CVE-2024-8357 — отсутствие root-of-trust в App SoC и проверок безопасности в процессе загрузки позволяет злоумышленникам сохранить контроль над информационно-развлекательной системой после исходной атаки;
  • CVE-2024-8356 — неподписанный код в VIP MCU позволяет загружать сторонние прошивки и перехватывать контроль над различными подсистемами автомобиля.

Известно, что баги затрагивают автомобили Mazda 3, выпущенные с 2014 по 2021 годы, а также другие модели производителя.

Как отмечает старший исследователь уязвимостей в ZDI Дмитрий Янушкевич, эксплуатация перечисленных проблем требует физического доступа к информационно-развлекательной системе автомобиля. Так, атакующий может подключиться к авто с помощью специального USB-устройства и осуществить атаку за считанные минуты.

Исследователь пишет, что зачастую несанкционированный физический доступ к автомобилю получить не так уж трудно: это может произойти на парковке, во время обслуживания на СТО или в дилерском центре.

В итоге взлом информационно-развлекательной системы автомобиля с использованием перечисленных багов может привести к манипуляциям с БД, раскрытию информации, созданию произвольных файлов, внедрению произвольных команд, полной компрометации системы, закреплению злоумышленника в системе и выполнению произвольного кода до загрузки ОС.

Отдельно подчеркивается, что эксплуатация CVE-2024-8356 позволяет установить вредоносную версию прошивки, что дает потенциальному атакующему прямой доступ CAN-шинам и помогает добраться до блоков управления двигателем, тормозами, трансмиссией и так далее.

«В широком смысле это позволяет злоумышленнику перейти от скомпрометированного SoC-приложения под управлением Linux к VIP MCU, установив специально подготовленную версию прошивки и впоследствии получив прямой доступ к подключенным CAN-шинам», — поясняют в ZDI.

Также исследователи пишут, что целенаправленная атака может привести к компрометации подключенных устройств, отказу в обслуживании, полному выходу из строя и даже вымогательству.

В настоящее время ни одна из уязвимостей не была исправлена, и представители Mazda пока никак не прокомментировали публикацию специалистов ZDI.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии