Οι επιτιθέμενοι θα μπορούσαν να εκμεταλλευτούν πολλά τρωτά σημεία στη μονάδα ενημέρωσης και ψυχαγωγίας Mazda Connect, που υπάρχουν σε πολλά μοντέλα αυτοκινήτων, συμπεριλαμβανομένου του Mazda 3 (2014-2021), για να εκτελέσουν αυθαίρετο κώδικα με άδεια root.
Τα ζητήματα ασφαλείας παραμένουν απροσδιόριστα και ορισμένα από αυτά είναι ελαττώματα έγχυσης εντολών που θα μπορούσαν να αξιοποιηθούν για να επιτευχθεί απεριόριστη πρόσβαση στα δίκτυα των οχημάτων, επηρεάζοντας δυνητικά τη λειτουργία και την ασφάλεια του αυτοκινήτου.
Λεπτομέρειες ευπάθειας
Οι ερευνητές βρήκαν τα ελαττώματα στην κύρια μονάδα σύνδεσης Mazda Connectivity από τη Visteon, με λογισμικό που αναπτύχθηκε αρχικά από την Johnson Controls. Ανέλυσαν την τελευταία έκδοση του υλικολογισμικού (74.00.324A), για την οποία δεν υπάρχουν δημόσια αναφερόμενα τρωτά σημεία.
Η CMU έχει τη δική της κοινότητα χρηστών που την τροποποιούν για να βελτιώσουν τη λειτουργικότητα (modding). Ωστόσο, η εγκατάσταση των τροποποιήσεων βασίζεται σε ευπάθειες λογισμικού.
Σε μια χθεσινή αναφορά, το Zero Day Initiative (ZDI) της Trend Micro εξηγεί ότι τα προβλήματα που ανακαλύφθηκαν ποικίλλουν από ένεση SQL και ένεση εντολών έως ανυπόγραφο κώδικα:
- CVE-2024-8355: SQL Injection στο DeviceManager – Επιτρέπει στους εισβολείς να χειριστούν τη βάση δεδομένων ή να εκτελέσουν κώδικα εισάγοντας κακόβουλη είσοδο κατά τη σύνδεση μιας πλαστογραφημένης συσκευής Apple.
- CVE-2024-8359: Έγχυση εντολών στο REFLASH_DDU_FindFile – Επιτρέπει στους εισβολείς να εκτελούν αυθαίρετες εντολές στο σύστημα infotainment εισάγοντας εντολές σε εισόδους διαδρομής αρχείου.
- CVE-2024-8360: Έγχυση εντολών στο REFLASH_DDU_ExtractFile – Παρόμοια με το προηγούμενο ελάττωμα, επιτρέπει στους εισβολείς να εκτελούν αυθαίρετες εντολές λειτουργικού συστήματος μέσω μη απολυμανμένων διαδρομών αρχείων.
- CVE-2024-8358: Έγχυση εντολών στο UPDATES_ExtractFile – Επιτρέπει την εκτέλεση εντολών με την ενσωμάτωση εντολών σε διαδρομές αρχείων που χρησιμοποιούνται κατά τη διαδικασία ενημέρωσης.
- CVE-2024-8357: Λείπει το Root of Trust στο App SoC – Δεν υπάρχουν έλεγχοι ασφαλείας στη διαδικασία εκκίνησης, επιτρέποντας στους εισβολείς να διατηρήσουν τον έλεγχο του συστήματος infotainment μετά την επίθεση.
- CVE-2024-8356: Ανυπόγραφος κώδικας στο VIP MCU – Επιτρέπει στους εισβολείς να ανεβάζουν μη εξουσιοδοτημένο υλικολογισμικό, παρέχοντας ενδεχομένως έλεγχο σε ορισμένα υποσυστήματα οχημάτων.
Εκμεταλλευσιμότητα και πιθανοί κίνδυνοι
Ωστόσο, η εκμετάλλευση των έξι παραπάνω τρωτών σημείων απαιτεί φυσική πρόσβαση στο σύστημα ψυχαγωγίας.
Ντμίτρι Γιανούσκεβιτςανώτερος ερευνητής ευπάθειας στο ZDI, εξηγεί ότι ένας παράγοντας απειλής θα μπορούσε να συνδεθεί με μια συσκευή USB και να αναπτύξει την επίθεση αυτόματα μέσα σε λίγα λεπτά.
Παρά αυτόν τον περιορισμό, ο ερευνητής σημειώνει ότι η μη εξουσιοδοτημένη φυσική πρόσβαση είναι εύκολα προσβάσιμη, ειδικά σε παρκαδόρο και κατά τη διάρκεια σέρβις σε συνεργεία ή αντιπροσωπείες.
Σύμφωνα με την έκθεση, η παραβίαση του συστήματος ενημέρωσης και ψυχαγωγίας ενός αυτοκινήτου χρησιμοποιώντας τα αποκαλυπτόμενα τρωτά σημεία θα μπορούσε να επιτρέψει χειρισμό βάσης δεδομένων, αποκάλυψη πληροφοριών, δημιουργία αυθαίρετων αρχείων, εισαγωγή αυθαίρετων εντολών λειτουργικού συστήματος που θα μπορούσαν να οδηγήσουν σε πλήρη παραβίαση του συστήματος, απόκτηση επιμονής και εκτέλεση αυθαίρετου κώδικα πριν από τη λειτουργία μπότες συστήματος.
Με την εκμετάλλευση του CVE-2024-8356, ένας παράγοντας απειλής θα μπορούσε να εγκαταστήσει μια κακόβουλη έκδοση υλικολογισμικού και να αποκτήσει άμεση πρόσβαση στα συνδεδεμένα δίκτυα περιοχής ελεγκτή (λεωφορεία CAN) και να φτάσει στις μονάδες ηλεκτρονικού ελέγχου του οχήματος (ECU) για τον κινητήρα, τα φρένα, τη μετάδοση ή σύστημα μετάδοσης κίνησης.
Ο Janushkevich λέει ότι η αλυσίδα επίθεσης διαρκεί μόλις λίγα λεπτά, «από τη σύνδεση μιας μονάδας USB έως την εγκατάσταση μιας δημιουργημένης ενημέρωσης», σε ένα ελεγχόμενο περιβάλλον. Ωστόσο, μια στοχευμένη επίθεση θα μπορούσε επίσης να θέσει σε κίνδυνο τις συνδεδεμένες συσκευές και να οδηγήσει σε άρνηση υπηρεσίας, bricking ή ransomware.
VIA: bleepingcomputer.com
