趋势科技零日计划 (ZDI) 警告称，多款马自达车型的信息娱乐系统存在漏洞，可能允许攻击者以 root 权限执行任意代码。

ZDI 解释称，这些问题存在的原因是，马自达 Connect 连接主单元 (CMU) 系统没有正确清理用户提供的输入，这可能允许实际存在的攻击者通过连接特制的 USB 设备向系统发送命令。

CMU 在改装社区中颇受欢迎，它发布了软件调整来修改其操作，它由伟世通制造，运行最初由江森自控开发的软件。

据 ZDI 称，这些漏洞是在软件版本 74.00.324A 中发现的，可以结合使用以“实现对信息娱乐系统的完全和持久的入侵”。早期的软件版本也可能受到影响。2014-2021 年款马自达 3 和其他车型均受到影响。

第一个安全漏洞编号为 CVE-2024-8355，其存在原因是，当一个新的 Apple 设备连接时，CMU 会从该设备中获取几个值，并在未经清理的情况下将它们用在 SQL 语句中。

这使得攻击者可以使用欺骗设备使用特定命令回复请求，这些命令将以 root 权限在信息娱乐系统上执行，从而导致数据库操纵、任意文件创建以及潜在的代码执行。

ZDI 表示：“由于输入的长度明显限制为 0x36 字节，因此对该漏洞的利用受到一定限制，但可以通过将几个伪造的 iPod 一个接一个地连接起来来解决，每个 iPod 都注入自己的 SQL 语句来代替序列号。”

另外三个不当输入清理漏洞（CVE-2024-8359、CVE-2024-8360 和 CVE-2024-8358）影响支持更新过程的功能，并可能允许攻击者“注入将由主机 OS shell 执行的任意 OS 命令”，从而导致整个系统被入侵。

第五个缺陷（CVE-2024-8357）之所以存在，是因为运行 Linux 的应用程序 SoC 中未针对操作系统启动步骤实施身份验证，这允许攻击者操纵根文件系统、配置数据和引导代码，以实现持久性、SSH 密钥安装和代码执行。

另一个漏洞 CVE-2024-8356 影响主机的第二个系统，即运行未指定操作系统的 MCU，该 MCU 支持 CAN 和 LIN 连接等 CMU 功能，并在 CMU 软件中的字符串中被标识为 VIP。

VIP 也会在软件更新过程中更新，ZDI 发现可以操纵特定的字符串，这些字符串一旦被更新脚本接受，就会导致验证修改后的固件映像，然后将其编程回 VIP MCU。

ZDI 解释说：“从更全局的角度来看，这允许攻击者通过安装精心设计的固件版本，从运行 Linux 的受感染应用程序 SoC 转向 VIP MCU，进而直接访问车辆所连接的 CAN 总线。”

利用 USB 设备中的文件（该文件包含要以其名称执行的操作系统命令）即可利用这些缺陷。

“文件名必须以 .up 结尾，才能被软件更新处理代码识别。虽然所有三个命令注入漏洞都是通过文件名利用的，但迄今为止最容易利用的是 [CVE-2024-8359]，因为没有特定的利用要求，例如精心设计的更新文件的有效性。”ZDI 表示。

此外，将 USB 大容量存储设备连接到车辆可以自动触发软件更新过程，从而有助于利用命令注入漏洞。

攻击者可以安装后门系统组件来操纵根文件系统以实现持久性，可以横向移动并安装精心设计的 VIP 微控制器软件以获得“对车辆网络的不受限制的访问，从而可能影响车辆的运行和安全”。

ZDI 表示，这种攻击可以在实验室环境中几分钟内完成，而在现实世界中可能不会花费太长时间，例如当汽车“由代客泊车员处理、在共乘过程中或通过 USB 恶意软件处理”时，或在商店环境中。

ZDI 指出：“CMU 随后可能会受到攻击和‘增强’，例如，试图在有针对性的攻击中攻击任何连接的设备，从而导致 DoS、破坏、勒索软件、安全漏洞等。”

ZDI表示，供应商尚未修补这些漏洞。

技术报告：https://www.zerodayinitiative.com/blog/2024/11/7/multiple-vulnerabilities-in-the-mazda-in-vehicle-infotainment-ivi-system

新闻链接：

https://www.securityweek.com/unpatched-vulnerabilities-allow-hacking-of-mazda-cars-zdi/