趋势科技的零日漏洞倡议组织(ZDI)披露,多款马自达汽车车型的信息娱乐系统存在可能导致代码执行的漏洞。
趋势科技的零日漏洞倡议组织(ZDI)警告称,多款马自达汽车车型信息娱乐系统中的漏洞可能会让攻击者以根权限执行任意代码。
ZDI 解释说,出现这些问题是因为马自达连接主控单元(CMU)系统没有对用户输入的内容进行恰当的清理,这可能会让现场的攻击者通过连接特制的 USB 设备向系统发送指令。
CMU 在改装群体中颇受欢迎,该群体已发布软件调整方案来改变其运行方式。CMU 由伟世通公司制造,运行的软件最初由江森自控开发。
据 ZDI 称,在软件版本 74.00.324A 中发现的这些缺陷可被联合利用,以 “实现对信息娱乐系统的完全且持久的入侵”。更早的软件版本可能也会受到影响。2014 年至 2021 年款的马自达 3 及其他车型均受影响。
第一个安全缺陷(追踪编号为 CVE-2024-8355)的存在原因是,当连接新的苹果设备时,CMU 会从该设备获取几个值,并在未进行清理的情况下将其用于一条 SQL 语句中。
这使得攻击者可以使用伪装设备以根权限在信息娱乐系统上执行特定命令来回复请求,从而导致数据库操作、任意文件创建,甚至可能执行代码。
ZDI 表示:“由于输入似乎存在 0x36 字节的长度限制,对该漏洞的利用在一定程度上受到限制,但可以通过让几个伪装的 iPod 依次连接来绕过这一限制,每个 iPod 都用其注入的 SQL 语句替代序列号。”
另外三个输入清理不当的漏洞,追踪编号分别为 CVE-2024-8359、CVE-2024-8360 和 CVE-2024-8358,影响支持更新过程的功能,可能会让攻击者 “注入将由主机操作系统外壳执行的任意操作系统命令”,从而导致整个系统被入侵。
第五个漏洞(追踪编号为 CVE-2024-8357)的存在是因为在运行 Linux 的应用片上系统(SoC)中,操作系统启动步骤未实施认证,这使得攻击者可以操纵根文件系统、配置数据以及引导程序代码,以实现持久化、安装 SSH 密钥以及执行代码。
另一个漏洞 CVE-2024-8356 影响主机的第二个系统,即运行未指明操作系统的微控制器单元(MCU),该系统支持 CMU 的诸如 CAN 和 LIN 连接等功能,在 CMU 软件的字符串中被标识为 VIP。
VIP 在软件更新过程中也会更新,ZDI 发现可以操纵特定字符串,一旦这些字符串被更新脚本接受,就会导致对修改后的固件镜像进行验证,该镜像将被编程回 VIP MCU。
ZDI 解释说:“从更广泛的意义上讲,这使得攻击者可以通过安装特制的固件版本,从受入侵的运行 Linux 的应用 SoC 转移到 VIP MCU,随后直接访问车辆连接的 CAN 总线。”
通过一个 USB 设备可以利用这些漏洞,该 USB 设备所连接的文件名称中包含要执行的操作系统命令。
ZDI 说:“文件名必须以.up 结尾,这样才能被软件更新处理代码识别。虽然这三个命令注入漏洞都是通过文件名来利用的,但到目前为止最容易利用的是 [CVE-2024-8359],因为它没有诸如特制更新文件有效性等特定的利用要求。”
此外,将 USB 大容量存储设备连接到车辆上可能会自动触发软件更新过程,从而便于利用命令注入漏洞。
攻击者可以安装带后门的系统组件来操纵根文件系统以实现持久化,可以横向移动并安装特制的 VIP 微控制器软件,以获得 “对车辆网络的无限制访问,这可能会影响车辆的运行和安全”。
ZDI 表示,在实验室环境中,这种攻击可以在几分钟内完成,在现实场景中,比如汽车 “由代客泊车员操作、在拼车过程中、通过 USB 恶意软件” 或在维修店环境中,可能也不会花费太长时间。
ZDI 指出:“然后,CMU 就可能被入侵并‘增强’,例如,在针对性攻击中试图入侵任何连接的设备,这可能导致拒绝服务、设备变砖、勒索软件、安全受损等情况。”
ZDI 称,这些漏洞供应商都尚未修复。《安全周刊》已就此事给马自达发邮件征求声明,一旦收到回复,将立即更新此文。
关注【黑客联盟】带你走进神秘的黑客世界
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。