马自达信息娱乐系统存在零日漏洞，汽车面临接管攻击

原创 很近也很远 网络研究观 2024-11-08 23:59

趋势科技零日计划 (ZDI) 的研究人员发现了马自达车载信息娱乐系统 Mazda Connect 中的多个漏洞。

受影响的连接主单元 (CMU) 安装在各种马自达车型上，包括马自达 3（2014 年至 2021 年款），被发现容易受到 SQL 注入、命令注入和代码执行漏洞的攻击，这可能使攻击者获得对系统的完全 root 访问权限。

技术分析

这些漏洞是由ZDI 的 Dmitry Janushkevich发现的，他调查了该装置的最新软件版本 (74.00.324A) 以及可追溯到 70.x 的早期版本。

https://www.zerodayinitiative.com/blog/2024/11/7/multiple-vulnerabilities-in-the-mazda-in-vehicle-infotainment-ivi-system

该系统由 Visteon 设计和制造，软件最初由 Johnson Controls Inc. (JCI) 开发，常见于马自达汽车，通过信息娱乐装置支持一系列连接和用户功能。

研究人员发现，输入清理不足会导致严重的安全风险，使系统容易受到代码注入和完全入侵。

ZDI 报告称，CMU 的应用处理器运行基于 Linux 的操作系统，某些核心功能和车辆通信由辅助微控制器处理。

这种双处理器设计旨在使车辆操作的某些方面保持隔离。

然而，研究人员发现，CMU 的更新和数据处理过程的几个方面可以通过 USB 设备进行攻击。

已发现的漏洞
– DeviceManager iAP 序列号中的 SQL 注入 (CVE-2024-8355)：DeviceManager 模块中的漏洞允许攻击者利用 eInsertDeviceEntry() 函数。通过连接模仿 iPod 或类似设备的伪造 USB 设备，攻击者可以将恶意 SQL 命令注入设备的数据库，从而可能允许代码执行。

• 文件查找和提取函数中的命令注入：在负责管理软件更新的函数中发现了三个单独的命令注入漏洞。REFLASH_DDU_FindFile 和 REFLASH_DDU_ExtractFile 函数允许恶意输入在处理更新文件时触发任意 shell 命令。UPDATES_ExtractFile函数同样存在漏洞，允许执行注入的 OS 命令。

• 硬件安全漏洞 (CVE-2024-8357)：研究人员发现 CMU 的主应用处理器在硬件设置中缺乏可信根。这种安全措施的缺失允许攻击者修改引导加载程序或核心固件，使其在系统上持续存在，即使在重新启动后也是如此。

• 辅助 MCU 上的未签名代码执行 (CVE-2024-8356)：负责车辆网络交互（如 CAN 总线连接）的车辆辅助微控制器被发现缺乏代码更新验证。有权访问此组件的攻击者可以上传恶意固件来影响车辆控制，这是一个严重的安全隐患。

马自达车主面临的风险

这些安全漏洞使攻击者能够持续入侵信息娱乐系统，并可能干扰车辆安全系统。

实际上，恶意攻击者可以在代客泊车、拼车服务或汽车维修店等场景中利用这些漏洞，因为这些场景中，攻击者可能可以短暂地物理访问车辆的 USB 端口。

被利用的 CMU 可能成为其他连接设备的入侵点，可能造成的后果包括拒绝服务攻击和乘客设备上的恶意软件感染。

根据这些发现，马自达车主和服务提供商应采取以下步骤来防止被利用：
– 避免将未知的 USB 设备连接到信息娱乐系统。

• 限制第三方对车辆的访问，特别是在可能无人监督访问 CMU 的环境中。

• 在安全补丁可用时立即进行定期更新，最好只从官方或可信来源进行更新。

马自达尚未发布补丁，因此在撰写本文时这些漏洞仍然可以被利用。