Bilgisayar korsanları, Mazda’nın bilgi-eğlence sistemindeki, USB yoluyla kod yürütülmesine olanak tanıyan, aracınızın güvenliğini tehlikeye atan ve sizi riske sokan kritik güvenlik açıklarından yararlanabilir.
ZDI’daki (Zero Day Initiative) siber güvenlik araştırmacıları, Mazda’nın bilgi-eğlence sistemlerinde, özellikle de 2014’ten 2021’e kadar Mazda 3 de dahil olmak üzere birden fazla Mazda otomobil modelinde kurulu olan Bağlantı Ana Birimi’nde (CMU) çeşitli kritik güvenlik açıkları tespit etti.
Saldırganın sağladığı girdiyi işlerken “yetersiz temizleme” nedeniyle oluşan bu güvenlik açıkları, fiziksel olarak mevcut bir saldırganın özel hazırlanmış bir USB aygıtını hedef sisteme bağlayarak bu güvenlik açıklarından yararlanmasına olanak tanıyabilir. Başarılı bir şekilde kullanılması, kök ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir.
Hedef
Bir otomotiv teknolojisi şirketi olan Visteon Corporation tarafından üretilen ve ilk olarak Johnson Controls Inc (JCI) tarafından geliştirilen CMU ünitesi, mevcut en son yazılım sürümünde (74.00.324A) çalışır. Ancak en az 70.x’e kadar olan önceki yazılım sürümleri de bu güvenlik açıklarından etkilenebilir. CMU, kullanıcıların genellikle bu tür güvenlik açıklarından yararlanarak birimin çalışmasını değiştirmek için yazılım ayarlamaları yaptığı aktif bir “modlama ortamının” parçasıdır.
Güvenlik Açıkları
CMU sisteminde tanımlanan birden fazla güvenlik açığı bulunmaktadır. Her birinin ayrıntıları aşağıdaki gibidir:
- SQL Enjeksiyonu (CVE-2024-8355/ZDI-24-1208): Bir saldırgan, bir Apple cihazının iAP seri numarasını taklit ederek kötü amaçlı SQL kodu ekleyebilir. Bu, saldırganın veritabanını manipüle etmesine, bilgileri ifşa etmesine, rastgele dosyalar oluşturmasına ve potansiyel olarak kod yürütmesine olanak tanır.
- İşletim Sistemi Komut Ekleme (CVE-2024-8359/ZDI-24-1191): Libjcireflashua.so paylaşılan nesnesindeki REFLASH_DDU_FindFile işlevi, kullanıcı girişini temizlemede başarısız olur ve bir saldırganın, ana ünite işletim sistemi kabuğu tarafından yürütülebilecek rastgele işletim sistemi komutları eklemesine olanak tanır.
- İşletim Sistemi Komut Ekleme (CVE-2024-8360/ZDI-24-1192): Libjcireflashua’daki REFLASH_DDU_ExtractFile işlevi. dolayısıyla paylaşılan nesne aynı zamanda kullanıcı girişini temizleme konusunda da başarısız olur ve saldırganın ana ünite işletim sistemi kabuğu tarafından yürütülebilecek rastgele işletim sistemi komutları eklemesine olanak tanır.
- Donanıma Güvenin Eksik Kökü (CVE-2024-8357/ZDI-24-1189): Uygulama SoC’sinde önyükleme koduna ilişkin herhangi bir kimlik doğrulaması eksik, bu da bir saldırganın kök dosya sistemini, yapılandırma verilerini ve muhtemelen önyükleme kodunun kendisini değiştirmesine olanak tanıyor.
- İmzasız Kod (CVE-2024-8356/ZDI-24-1188): VIP MCU, imzasız kodla güncellenebilir; böylece bir saldırgan, Linux çalıştıran güvenliği ihlal edilmiş bir uygulama SoC’sinden VIP MCU’ya geçiş yapabilir ve aracın bağlı CAN veri yollarına doğrudan erişim elde edebilir.
Sömürü
Saldırgan, FAT32 biçimli bir USB yığın depolama aygıtında yürütülecek işletim sistemi komutlarını içeren bir dosya oluşturarak bu güvenlik açıklarından yararlanabilir. Yazılım güncelleme işleme kodu tarafından tanınabilmesi için dosya adının .up ile bitmesi gerekir.
İlk uzlaşma sağlandıktan sonra saldırgan, kök dosya sisteminin manipülasyonu yoluyla kalıcılık kazanabilir veya araç ağlarına sınırsız erişime izin veren özel hazırlanmış bir VIP mikro denetleyici yazılımı yükleyebilir.
İlişkili Riskler
ZDI’nın blog yazısına göre saldırı zinciri laboratuvar ortamında birkaç dakika içinde tamamlanabiliyor ve arabaya monte edilen bir birime karşı çok daha fazla zaman alacağına inanmak için hiçbir neden yok.
Bu, aracın bir vale tarafından kullanılırken, araç paylaşımı sırasında veya USB kötü amaçlı yazılım yoluyla tehlikeye atılabileceği anlamına gelir. Daha sonra CMU’nun güvenliği ihlal edilebilir ve DoS, tuğlalama, fidye yazılımı, güvenlik ihlali vb. ile sonuçlanabilecek hedefli saldırılarda bağlı herhangi bir cihazı tehlikeye atmaya çalışmak için “geliştirilebilir”. Bunun en kötü yanı, bu güvenlik açıklarının yamalanmamış kalmasıdır.
“Bu araştırma çabası ve çıktısı, yüksek etkili güvenlik açıklarının, birkaç yıldır piyasada bulunan ve uzun bir güvenlik düzeltmeleri geçmişine sahip, oldukça olgun bir otomotiv ürününde bile bulunabileceği gerçeğini ortaya çıkardı. Bugüne kadar bu güvenlik açıklarına satıcı tarafından yama yapılmadı.”
ZDI analisti Dmitry Janushkevich
Çözüm
Bu güvenlik açıklarının keşfi, tüm sistemin güvenliğinin dikkate alınmasının ve tüm üretim sistemlerinin tüm operasyonel modlarında güvenlik testi yapılmasının önemini göstermektedir. Bellek açısından güvenli dillerin veya diğer güvenlik araçlarının kullanılması, konuşlandırılan sistemlerin güvenli olduğunu garanti etmez. Dillerin ve derleyicilerinin aşağı yöndeki güvenlik özelliklerini garanti etmek için tüm çalışma zamanı aşamalarında ve tüm bileşenler için sistem bütünlüğünü sağlamak önemlidir.
İLGİLİ KONULAR
- Siber Suçlular Araba Çalmak İçin CAN Enjeksiyon Hack’ini Kullanıyor
- Uygulama Kusuru Honda ve Nissan Cars’ın VIN’i Bilerek Hacklenmesine İzin Verdi
- Tesla arabaları drone ve WIFI dongle kullanılarak uzaktan hacklenebilir
- Bilgisayar korsanları plakaları istismar ederek Kia otomobillerini uzaktan kontrol ediyor
- Yüksek önemdeki Intel çip hatası, arabaları ve IoT cihazlarını savunmasız bıraktı