马自达爆出安全漏洞,影响旗下多款车型
马自达爆出安全漏洞,影响旗下多款车型
赛博研究院 赛博研究院 2024-11-11 19:25
趋势科技安全研究员披露,马自达旗下多款车型的CMU车机系统(Connect Connectivity Master Unit0)存在高危安全漏洞,威胁攻击者可利用漏洞非法获得Root权限,并执行任意代码。
据悉,安全漏洞涉及系统版本为74.00.324A的车机,主要影响马自达3(2014-2021年款)、马自达6以及马自达CX-5等多款车型。安全漏洞详情如下:
CVE-2024-8355:DeviceManager中的SQL
注入漏洞,威胁攻击者
可以通过连接苹果设备进行SQL注入,以root权限修改数据库,读取或执行任意代码。
CVE-2024-8359:REFLASH_DDU_FindFile中的指令注入漏洞,威胁攻击者利用其修改文件路径注入指令,执行任意命令。
CVE-2024-8360:REFLASH_DDU_ExtractFile中的指令注入漏洞,类似前述漏洞,允许威胁攻击者在文件路径中注入指令并执行操作。
CVE-2024-8358:UPDATES_ExtractFile中的指令注入漏洞,威胁攻击者可在更新过程中通过文件路径注入恶意指令。
CVE-2024-8357:App SoC验证漏洞,
由于SoC未对启动代码进行验证,黑客能够悄悄修改根文件系统,安装后门,甚至执行任意代码。
CVE-2024-8356:VIP MCU中的未签名代码漏洞,允许威胁攻击者上传未经授权的固件,进而控制车辆的某些子系统。
研究人员指出,威胁攻击者想要利用上述漏洞,需要对信息娱乐系统进行物理访问。整个过程只需先控制受害者手机,接着趁受害者将手机作为USB设备连接到CMU车机系统之际,利用相关安全漏洞非法获得Root权限,执行任意代码。
一旦成功利用这些漏洞,威胁攻击者能够轻松对车辆的信息娱乐系统进行深度控制,包括执行任意操作系统命令、篡改数据库、泄露敏感信息、植入持久性恶意软件等。
安全漏洞“破坏力”巨大,以CVE-2024-8356安全漏洞为例,威胁攻击者甚至能利用其安装恶意固件,进而直接访问车辆的控制器区域网络(CAN总线),攻击关键车辆电子控制单元(ECU),如发动机、制动器、变速器等。
随着汽车行业在数字化、智能化方面的不断发展,车辆信息娱乐系统和其他电子控制单元(ECU)的复杂性显著增加。虽然这些技术带来更高的驾驶体验和便利性,但也随之引发了对车辆安全性的更大关注。
特别是在汽车与外部网络、设备的连接性日益增强的背景下,车辆成为潜在的网络攻击目标。上述研究中发现的安全漏洞,暴露出汽车信息娱乐系统在智能化进程中,存在严重安全隐患,可能对车主及乘客的安全构成巨大威胁。
文章来源 | bleeping computer
赛博研究院简介
上海赛博网络安全产业创新研究院(简称赛博研究院),是上海市级民办非企业机构,成立至今,赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。
赛博研究院立足上海服务全国,是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构,同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能,并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。
欢迎联络咨询:
电话:021-61432693。