Saldırganlar, kök izniyle rastgele kod yürütmek için Mazda 3 (2014-2021) de dahil olmak üzere birçok otomobil modelinde bulunan Mazda Connect bilgi-eğlence ünitesindeki çeşitli güvenlik açıklarından yararlanabilir.
Güvenlik sorunları hala yamalanmamış durumda ve bunlardan bazıları, araç ağlarına sınırsız erişim elde etmek için kullanılabilecek ve potansiyel olarak aracın çalışmasını ve güvenliğini etkileyebilecek komut ekleme kusurlarıdır.
Güvenlik açığı ayrıntıları
Araştırmacılar, başlangıçta Johnson Controls tarafından geliştirilen yazılımla Visteon’un Mazda Connect Connectivity Master Unit’indeki kusurları buldu. Kamuya açıklanmış herhangi bir güvenlik açığı bulunmayan donanım yazılımının en son sürümünü (74.00.324A) analiz ettiler.
CMU’nun, işlevselliği geliştirmek (modlama) için onu değiştiren kendi kullanıcı topluluğu vardır. Ancak ince ayarların yüklenmesi yazılımdaki güvenlik açıklarına bağlıdır.
Trend Micro’nun Sıfır Gün Girişimi (ZDI), dün yayınladığı bir raporda, keşfedilen sorunların SQL enjeksiyonu ve komut enjeksiyonundan imzasız koda kadar değiştiğini açıklıyor:
- CVE-2024-8355: DeviceManager’a SQL Enjeksiyonu – Saldırganların, sahte bir Apple cihazına bağlanırken kötü amaçlı girdi girerek veritabanını değiştirmesine veya kod yürütmesine olanak tanır.
- CVE-2024-8359: REFLASH_DDU_FindFile’a Komut Ekleme – Saldırganların dosya yolu girişlerine komutlar enjekte ederek bilgi-eğlence sisteminde rastgele komutlar çalıştırmasına olanak tanır.
- CVE-2024-8360: REFLASH_DDU_ExtractFile’a Komut Ekleme – Önceki kusura benzer şekilde, saldırganların temizlenmemiş dosya yolları üzerinden rastgele işletim sistemi komutları yürütmesine olanak tanır.
- CVE-2024-8358: UPDATES_ExtractFile’a Komut Ekleme – Güncelleme işlemi sırasında kullanılan dosya yollarına komutlar yerleştirerek komut yürütülmesine izin verir.
- CVE-2024-8357: Uygulama SoC’sinde Eksik Güven Kökü – Önyükleme sürecinde güvenlik kontrollerinin olmaması, saldırganların saldırı sonrasında bilgi-eğlence sistemi üzerindeki kontrolünü sürdürmesine olanak tanır.
- CVE-2024-8356: VIP MCU’daki İmzasız Kod – Saldırganların yetkisiz ürün yazılımı yüklemesine olanak tanır ve potansiyel olarak belirli araç alt sistemleri üzerinde kontrol sağlar.
Kullanılabilirlik ve potansiyel riskler
Ancak yukarıdaki altı güvenlik açığından yararlanmak bilgi-eğlence sistemine fiziksel erişim gerektiriyor.
ZDI’nın kıdemli güvenlik açığı araştırmacısı Dmitry Janushkevich, bir tehdit aktörünün bir USB cihazına bağlanarak dakikalar içinde otomatik olarak saldırıyı gerçekleştirebileceğini açıklıyor.
Bu sınırlamaya rağmen araştırmacı, özellikle vale park etme sırasında ve atölyelerde veya bayilerde servis sırasında yetkisiz fiziksel erişimin kolaylıkla elde edilebileceğini belirtiyor.
Rapora göre, açıklanan güvenlik açıklarını kullanarak bir otomobilin bilgi-eğlence sistemini tehlikeye atmak, veritabanı manipülasyonuna, bilgilerin ifşa edilmesine, rastgele dosyalar oluşturulmasına, sistemin tamamen tehlikeye atılmasına yol açabilecek rastgele işletim sistemi komutlarının enjekte edilmesine, kalıcılık elde edilmesine ve operasyondan önce rastgele kod çalıştırılmasına olanak sağlayabilir. sistem önyüklemeleri.
Bir tehdit aktörü, CVE-2024-8356’yı kullanarak kötü amaçlı bir ürün yazılımı sürümü yükleyebilir ve bağlı denetleyici alan ağlarına (CAN veri yolları) doğrudan erişim sağlayabilir ve aracın motor, frenler, şanzıman veya elektronik kontrol birimlerine (ECU’lar) erişebilir. güç aktarma organı.
Janushkevich, kontrollü bir ortamda saldırı zincirinin “bir USB sürücüyü takmaktan hazırlanmış bir güncellemeyi yüklemeye kadar” yalnızca birkaç dakika sürdüğünü söylüyor. Ancak hedefli bir saldırı aynı zamanda bağlı cihazların güvenliğini tehlikeye atabilir ve hizmet reddine, tuğlalamaya veya fidye yazılıma yol açabilir.