Mazda
趋势科技ZDI部门研究人员发现,日本车厂马自达(Mazda)有多项漏洞,可让骇客执行程式码,最严重者可影响车辆安全,受影响车款包括最受欢迎的Mazda 3。
出问题的Mazda车上娱乐系统(Connect Connectivity Master Unit,CMU)系统用于马自达多款车子,包括2014到2021年的Mazda 3。研究人员发现到的6项漏洞,多半源自处理输入指令时「消毒」(sanitization)不足,让接近装置的攻击者可以连上USB装置,像是iPod或外接硬碟到CMU上展开攻击。成功滥用这些漏洞可让攻击者以根权限执行任意程式,包括执行阻断服务攻击、勒索软体、让系统无法作用,甚至影响行车安全。
值得注意的是,ZDI指出,这些漏洞都尚未修补。依据安全业界的惯例,资安业者应该都已通报汽车或软、硬体业者。ZDI并未说明业者的态度或回应。
这款CMU是由美国汽车零组件制造商伟世通(Visteon)生产,内部软体原始开发商则是江森自控(Johnson Controls Inc, JCI)。漏洞出现在74.00.324A,但往前推到70.x版都可能受影响。
第一项漏洞为CVE-2024-8355,在装置管理员(DeviceManager)软体的iAP序列号SQL指令注入漏洞。当攻击者插入苹果装置到CMU的SQL资料库时,后者从装置取出特定值,未经消毒就当成SQL声明使用,并以root权限执行。这可导致资料库被修改、泄露资讯,新增或执行任意档。
CVE-2024-8359、CVE-2024-8360和CVE-2024-8358,则是出现在软体更新套件中的远端程式码执行(RCE)漏洞,允许攻击者注入任意OS指令,而由装置OS Shell执行而骇入系统。
车载主机分成二个独立系统,一是执行Linux的应用SoC,另一个是执行特定OS的VIP MCU。CVE-2024-8357出于执行Linux的SoC开机未对启动程式码(bootstrap code)执行验证,且其后的OS开机也都没任何验证,导致可在Linux系统执行程式的攻击者,还能修改根档案系统、变更配置档、修改启动程式码,结果包括建立长期渗透后门程式、安装任意SSH金钥,或是执行任意程式码。
CVE-2024-8356则是出在另一独立部分:VIP MCU。执行某种OS的MCU有多种功能,包括连结车机和车辆其他部份的网路功能CAN/LIN(controller area network/local interconnected network)。这部份也是车子的安全边界,使对应用SoC的攻击不会扩及车子其他部份。CVE-2024-8356漏洞允许攻击者修改字串,使得更新过程允许,即修改过的恶意映像档(image)也能写入到VIP MCU记忆体中。连带也能让攻击者安装恶意版韧体,从应用SoC得以扩及VIP MCU,进而直接存取车子的内部网路。
研究人员指出,滥用这些指令注入漏洞很简单。攻击者只需在FAT32格式的USB大容量硬碟建立档案,该档案命名必须以.up结尾,之后就会被CMU软体更新程式码接受,并滥用3个指令漏洞。研究人员推测,若从映像档安装恶意VIP微控制器(microcontroller)软体,即可存取车内网路,直接影响车子运作和行车安全。