Уязвимости в Mazda Connect позволяют устанавливать вредоносное ПО для выполнения произвольного кода с правами root

Эксперты по ИБ выяснили, что уязвимости в информационно-развлекательном блоке Mazda Connect, присутствующем в нескольких моделях автомобилей, включая Mazda 3 (2014-2021), позволяют хакерам устанавливать вредоносное ПО для выполнения произвольного кода с правами root.

Примечательно, что эти проблемы безопасности остаются неисправленными уже некоторое время стороны как со стороны производителя, так и от поставщика электроники мультемедийных блоков машин. Часть багов в прошивке являются критичными, так как позволяют получить неограниченный доступ к внутренним сетям передачи данных некоторых моделей автомобилей, что может повлиять на работу систем и безопасность транспортного средства.

Исследователи обнаружили уязвимости в главном блоке подключения Mazda Connect (CMU) от Visteon с программным обеспечением, изначально разработанным Johnson Controls.

Энтузиасты проанализировали последнюю версию прошивки (74.00.324A) CMU для Mazda и смогли выполнить там зловредные SQL-инъекции и даже запустить произвольный код в случае получения физического доступа к информационно-развлекательной системе машин Mazda.

Найденные экспертами уязвимости:

• CVE-2024-8355: SQL-инъекция в DeviceManager — позволяет злоумышленникам манипулировать базой данных или выполнять сторонний код, вставляя вредоносный ввод данных при подключении поддельного устройства Apple;

• CVE-2024-8359: Command Injection в REFLASH_DDU_FindFile — позволяет злоумышленникам выполнять произвольные команды в информационно-развлекательной системе, внедряя команды во входные пути файлов;

• CVE-2024-8360: внедрение команд в REFLASH_DDU_ExtractFile — аналогично предыдущей уязвимости, она позволяет злоумышленникам выполнять произвольные команды ОС через несанкционированные пути к файлам;

• CVE-2024-8358: внедрение команд в UPDATES_ExtractFile — позволяет выполнять команды путём внедрения команд в пути к файлам, используемые в процессе обновления;

• CVE-2024-8357: отсутствие корня доверия в App SoC — отсутствуют проверки безопасности в процессе загрузки, что позволяет злоумышленникам сохранять контроль над информационно-развлекательной системой после атаки;

• CVE-2024-8356: неподписанный код в VIP MCU — позволяет злоумышленникам загружать несанкционированную прошивку, потенциально предоставляя контроль над определёнными подсистемами автомобиля.

Профильный эксперт ил ZDI объяснил, что злоумышленник может подключиться через USB к Mazda Connect и запустить несколько атак, которые приведут к компрометации системы.

Несмотря на ограничение по необходимости физического доступа, исследователи считают, что несанкционированный физический доступ к машине легко получить, особенно при парковке автомобиля служащим и во время обслуживания в мастерских или дилерских центрах.

Согласно отчёту экспертов, взлом информационно-развлекательной системы автомобилей Mazda с использованием раскрытых уязвимостей может позволить манипулировать базой данных, раскрывать информацию, создавать произвольные файлы, внедрять произвольные команды ОС, которые могут привести к полному взлому системы, получать настойчивость и выполнять произвольный код до загрузки операционной системы.

А вот с эксплуатацией CVE-2024-8356 всё может быть ещё серьёзнее. Злоумышленник может установить вредоносную версию прошивки и получить прямой доступ к подключённым сетям контроллеров (шинам CAN) и получить доступ к электронным блокам управления (ЭБУ) автомобиля для двигателя, тормозов, трансмиссии или силового агрегата.

Эксепрты выяснили, что цепочка атак занимает для активации всего несколько минут, «от подключения USB-накопителя до установки сконструированного обновления», в контролируемой среде. Однако даже простая целевая атака на эту систему может поставить под угрозу подключённые устройства и привести к отказу в обслуживании, блокировке или установку произвольного кода, включая развёртывание вируса-вымогателя.

Ранее исследователи раскрыли способ получения удалённого управления за 30 секунд ко многим моделям автомобилей KIA (2014-2025 годов выпуска) с помощью только данных с номерного знака и без активной подписки Kia Connect. В настоящее время эта уязвимость закрыта производителем. Инженеры KIA после получения данных об уязвимостях от исследователей исправили проблемные компоненты и устранили критические ошибки в IT-системах в течение двух месяцев.