黑客可以利用马自达信息娱乐系统中的严重漏洞,其中包括一个允许通过USB执行代码的漏洞,从而危及汽车的安全并使您面临风险。
ZDI(零日计划)的网络安全研究人员发现了马自达信息娱乐系统中的几个严重漏洞,特别是安装在多款马自达车型上的连接主控单元(CMU),包括2014年至2021年的马自达3。
这些漏洞是由于在处理攻击者提供的输入时“清理不足”而导致的,可能允许实际存在的攻击者通过将特制的USB设备连接到目标系统来利用这些漏洞。成功利用这些漏洞可能导致以root权限执行任意代码。
CMU装置由汽车技术公司Visteon Corporation制造,最初由Johnson Controls Inc(JCI)开发,运行最新可用软件版本 (74.00.324A)。但是,至少70.x的早期软件版本也可能受到这些漏洞的影响。CMU是活跃的“改装场景”的一部分,用户发布软件调整来改变装置的运行,通常会利用此类漏洞。
CMU系统中发现多个漏洞。每个漏洞的详细信息如下:
1. SQL注入(CVE-2024-8355/ZDI-24-1208):攻击者可以通过伪造Apple设备的iAP序列号来注入恶意SQL代码。这使攻击者能够操纵数据库、泄露信息、创建任意文件并可能执行代码。
2. 操作系统命令注入(CVE-2024-8359/ZDI-24-1191):libjcireflashua.so共享对象中的REFLASH_DDU_FindFile函数无法清理用户输入,从而允许攻击者注入可由主机操作系统shell执行的任意操作系统命令。
3. OS命令注入(CVE-2024-8360/ZDI-24-1192):libjcireflashua.so共享对象中的REFLASH_DDU_ExtractFile函数也无法清理用户输入,从而允许攻击者注入可由主机OS shell执行的任意OS命令。
4. 缺少硬件信任根(CVE-2024-8357/ZDI-24-1189):应用程序SoC缺少引导代码的任何身份验证,允许攻击者操纵根文件系统、配置数据以及可能的引导代码本身。
5. 未签名代码(CVE-2024-8356/ZDI-24-1188):VIP MCU可以使用未签名代码进行更新,允许攻击者从运行Linux的受感染应用程序SoC转向VIP MCU,并直接访问车辆所连接的CAN总线。
攻击者可以通过在FAT32格式的USB大容量存储设备上创建一个文件来利用这些漏洞,该文件的名称包含要执行的操作系统命令。文件名必须以.up结尾,才能被软件更新处理代码识别。
一旦实现初步攻破,攻击者就可以通过操纵根文件系统获得持久性,或者安装特制的VIP微控制器软件,从而不受限制地访问车辆网络。
根据ZDI的博客文章,攻击链可以在实验室环境中几分钟内完成,并且没有理由相信针对安装在汽车上的设备会花费更长的时间。
这意味着车辆可能在由代客泊车员处理、拼车或通过USB恶意软件时受到攻击。CMU随后可能受到攻击并“增强”,试图在有针对性的攻击中攻击任何连接的设备,从而导致DoS、变砖、勒索软件、安全漏洞等。最糟糕的是,这些安全漏洞仍未得到修补。
“这项研究及其成果凸显了一个事实:即使是在市场上销售多年且有长期安全修复历史的非常成熟的汽车产品中,也可能发现影响深远的漏洞。到目前为止,供应商仍未修补这些漏洞。” ---ZDI 分析师 Dmitry Janushkevich
Contrast Security的创始人兼首席技术官杰夫·威廉姆斯(Jeff Williams)对最新进展进行了评估,他解释说,数据注入威胁十分普遍,他认为马自达的开发人员应该谨慎信任未经验证的iPhone序列号,尤其是在进行敏感查询时。
“理论上,马自达开发人员应该知道从 iPhone 中提取的序列号不可信,不应直接进入 SAL 查询。但现实世界要复杂得多。也许编写代码来存储这些序列号的开发人员无法知道它们来自用户或未经验证!”
他承认开发人员面临的复杂性,并建议马自达使用运行时安全测试来监控不可信数据,确保开发人员安全地处理这些数据。
然而,这些漏洞的发现表明,考虑整个系统的安全性以及在所有运行模式下对整个生产系统进行安全测试的重要性。使用内存安全语言或其他安全工具并不能保证部署的系统是安全的。重要的是确保系统在所有运行时阶段的完整性,并保证所有组件的语言及其编译器的下游安全属性。
评论已关闭。