Volkswagen Discover Media Bilgi ve Eğlence Sistemindeki bir güvenlik açığı, yama uygulanmamış bir sistemde Hizmet Reddi (DoS) saldırısının hedefi olmasına izin verebilir. Volkswagen Discover Media sistemi CVE-2023-34733’teki güvenlik açığı, daha sonra aynı şeyi araştıran bir kullanıcı tarafından Volkswagen’e bildirildi.
Volkswagen Discover Media’daki güvenlik açığıyla ilgili ayrıntılar
Bir GitHub raporuna göre Volkswagen Discover Media bilgi-eğlence sistemindeki güvenlik açığı 28 Şubat 2023’te keşfedildi. Güvenlik açığını keşfeden ve bildiren kişinin kullandığı model ise Volkswagen Jetta 2021 oldu.
Bir NIST raporuna göre, Volkswagen’deki orta şiddetteki hatanın taban puanı 6.8’di.
Kullanıcı, dizüstü bilgisayarını Volkswagen USB bağlantı noktasına bağladı ve bir fuzzer ile medya dosyaları oluşturdu. Volkswagen Discover Media’daki güvenlik açığı hakkında daha fazla bilgi edinmek için bulanıklaştırma gerçekleştirdiler. Bu, MP3, WMA, WAV, vb. dahil olmak üzere medya dosyalarında yapıldı.
“Volkswagen’in medya yürütücüsü beklenenden daha sağlam olduğu için, özellikle Volkswagen’in bilgi-eğlence sistemi için ayrı bir medya dosyası fuzzer oluşturdum. Günde 20.000’den fazla medya dosyasını belirsizleştirdim ve bir günlük karışıklıktan sonra OGG dosyasındaki güvenlik açığını keşfettim.”
Volkswagen Discover medyasındaki güvenlik açığının tetiklenmesine yol açan bulanıklaştırma yoluyla bir medya dosyası belirlediler. Bu aynı zamanda Volkswagen bilgi-eğlence sisteminin kapatıldıktan sonra açılmamasına neden oldu.
Sorun, Volkswagen bilgi-eğlence sistemi manuel olarak yeniden başlatılarak sorunun tekrar açılmasıyla giderildi. GitHub sayfası, “Bağlantı noktasına bir USB takıldığında, medya dosyası otomatik olarak oynatılır ve Bilgi-Eğlence Sistemi zorla sonlandırılır” diye eklendi.
Volkswagen Discover ortamındaki böyle bir zafiyetin, uzaktan kod çalıştırma gibi güvenlik sorunlarına yol açabileceği gözlemlendi.
Discover medya yazılımındaki güvenlik açığı hakkında Volkswagen’den yanıt
Alman araç devi, kullanıcıdan bu raporu aldıktan sonra güvenlik açığıyla ilgili onayla yanıt verdi.
Şirket, olay müdahale ekibi ve daha sonra Araştırma ve Geliştirme departmanı tarafından Volkswagen bilgi-eğlence sistemindeki güvenlik açığını analiz ettirdi. Yukarıdaki e-posta ekran görüntüsünde ‘zj3t’ adlı kullanıcıya Volkswagen’deki güvenlik açığının bir ürün kalitesi konusu olduğunu ve iyileştirilmesi gerektiğini doğruladılar.
Volkswagen Discover Media’daki güvenlik açığı, Volkswagen Discover Media Bilgi ve Eğlence Sistemi yazılımı sürüm 0876’da bulundu.
Fuzzing nedir ve güvenlik açıklarını anlamaya nasıl yardımcı olur?
Discover medya yazılımındaki Volkswagen’deki güvenlik açığı, fuzzing yöntemi kullanılarak daha da anlaşıldı. Hatalı biçimlendirilmiş girdileri sisteme enjekte eden otomatik bir test mekanizmasıdır. Bu, yazılımdaki güvenlik açığını anlamak içindir.
Fuzz testi, sonuç olarak bir çökme veya veri sızıntısı oluşumunu izlemek için geçersiz girdilerin enjekte edilmesini içerir. Bu, sistemdeki ele alınması gereken boşlukları gösterir.
Fuzzing, bilgisayar korsanları tarafından yazılımdaki mevcut güvenlik açıklarından yararlanmak için kullanılan bir tekniktir. Fuzzing, daha hızlı sonuçlar sunan düşük maliyetli bir test mekanizmasıdır. Araştırmacılar, güvenlik açıklarını tespit etmek için açık kaynaklı fuzzer’lardan daha iyi bir şekilde daha gelişmiş fuzzer’lar kullanmalıdır. Gelişmiş bulanıklaştırıcılar, hatanın nerede ve ne zaman tetiklendiğine dair daha kapsamlı bir test kapsamı sağlar.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.