Эксперты по ИБ выяснили, что уязвимости в информационно-развлекательном блоке Mazda Connect, присутствующем в нескольких моделях автомобилей, включая Mazda 3 (2014-2021), позволяют хакерам устанавливать вредоносное ПО для выполнения произвольного кода с правами root.
Примечательно, что эти проблемы безопасности остаются неисправленными уже некоторое время стороны как со стороны производителя, так и от поставщика электроники мультемедийных блоков машин. Часть багов в прошивке являются критичными, так как позволяют получить неограниченный доступ к внутренним сетям передачи данных некоторых моделей автомобилей, что может повлиять на работу систем и безопасность транспортного средства.
Исследователи обнаружили уязвимости в главном блоке подключения Mazda Connect (CMU) от Visteon с программным обеспечением, изначально разработанным Johnson Controls.
Энтузиасты проанализировали последнюю версию прошивки (74.00.324A) CMU для Mazda и смогли выполнить там зловредные SQL-инъекции и даже запустить произвольный код в случае получения физического доступа к информационно-развлекательной системе машин Mazda.
Найденные экспертами уязвимости:
CVE-2024-8355: SQL-инъекция в DeviceManager — позволяет злоумышленникам манипулировать базой данных или выполнять сторонний код, вставляя вредоносный ввод данных при подключении поддельного устройства Apple;
CVE-2024-8359: Command Injection в REFLASH_DDU_FindFile — позволяет злоумышленникам выполнять произвольные команды в информационно-развлекательной системе, внедряя команды во входные пути файлов;
CVE-2024-8360: внедрение команд в REFLASH_DDU_ExtractFile — аналогично предыдущей уязвимости, она позволяет злоумышленникам выполнять произвольные команды ОС через несанкционированные пути к файлам;
CVE-2024-8358: внедрение команд в UPDATES_ExtractFile — позволяет выполнять команды путём внедрения команд в пути к файлам, используемые в процессе обновления;
CVE-2024-8357: отсутствие корня доверия в App SoC — отсутствуют проверки безопасности в процессе загрузки, что позволяет злоумышленникам сохранять контроль над информационно-развлекательной системой после атаки;
CVE-2024-8356: неподписанный код в VIP MCU — позволяет злоумышленникам загружать несанкционированную прошивку, потенциально предоставляя контроль над определёнными подсистемами автомобиля.
Профильный эксперт ил ZDI объяснил, что злоумышленник может подключиться через USB к Mazda Connect и запустить несколько атак, которые приведут к компрометации системы.
Несмотря на ограничение по необходимости физического доступа, исследователи считают, что несанкционированный физический доступ к машине легко получить, особенно при парковке автомобиля служащим и во время обслуживания в мастерских или дилерских центрах.
Согласно отчёту экспертов, взлом информационно-развлекательной системы автомобилей Mazda с использованием раскрытых уязвимостей может позволить манипулировать базой данных, раскрывать информацию, создавать произвольные файлы, внедрять произвольные команды ОС, которые могут привести к полному взлому системы, получать настойчивость и выполнять произвольный код до загрузки операционной системы.
А вот с эксплуатацией CVE-2024-8356 всё может быть ещё серьёзнее. Злоумышленник может установить вредоносную версию прошивки и получить прямой доступ к подключённым сетям контроллеров (шинам CAN) и получить доступ к электронным блокам управления (ЭБУ) автомобиля для двигателя, тормозов, трансмиссии или силового агрегата.
Эксепрты выяснили, что цепочка атак занимает для активации всего несколько минут, «от подключения USB-накопителя до установки сконструированного обновления», в контролируемой среде. Однако даже простая целевая атака на эту систему может поставить под угрозу подключённые устройства и привести к отказу в обслуживании, блокировке или установку произвольного кода, включая развёртывание вируса-вымогателя.
Ранее исследователи раскрыли способ получения удалённого управления за 30 секунд ко многим моделям автомобилей KIA (2014-2025 годов выпуска) с помощью только данных с номерного знака и без активной подписки Kia Connect. В настоящее время эта уязвимость закрыта производителем. Инженеры KIA после получения данных об уязвимостях от исследователей исправили проблемные компоненты и устранили критические ошибки в IT-системах в течение двух месяцев.
Источник: habr.com