Atacantes podem explorar várias vulnerabilidades na unidade de infotainment Mazda Connect, presente em múltiplos modelos de carro, incluindo o Mazda 3 (2014-2021), para executar códigos arbitrários com permissão de root.
Os problemas de segurança permanecem sem correção, e alguns deles são falhas de command injection que podem ser aproveitadas para obter acesso irrestrito às redes veiculares, impactando potencialmente a operação e segurança do veículo.
Pesquisadores encontraram as falhas na unidade de conectividade Mazda Connect da Visteon, com software inicialmente desenvolvido pela Johnson Controls.
Eles analisaram a última versão do firmware (74.00.324A), para a qual não há vulnerabilidades reportadas publicamente.
A CMU possui sua própria comunidade de usuários que a modificam para melhorar a funcionalidade (modding).
Entretanto, instalar as modificações depende de vulnerabilidades de software.
Em um relatório ontem, a iniciativa Zero-Day da Trend Micro (ZDI) explica que os problemas encontrados variam de SQL injection e command injection até código não assinado:
CVE-2024-8355: SQL Injection no DeviceManager – Permite que atacantes manipulem o banco de dados ou executem códigos inserindo entradas maliciosas ao conectar um dispositivo Apple falsificado.
CVE-2024-8359: Command Injection no REFLASH_DDU_FindFile – Permite que atacantes executem comandos arbitrários no sistema de infotainment injetando comandos em entradas de caminhos de arquivo.
CVE-2024-8360: Command Injection no REFLASH_DDU_ExtractFile – Similar à falha anterior, permite que atacantes executem comandos arbitrários do OS através de caminhos de arquivo não verificados.
CVE-2024-8358: Command Injection no UPDATES_ExtractFile – Permite a execução de comandos embutindo comandos em caminhos de arquivo usados durante o processo de atualização.
CVE-2024-8357: Falta de Root of Trust no App SoC – Carece de verificações de segurança no processo de boot, permitindo que atacantes mantenham controle sobre o sistema de infotainment após o ataque.
CVE-2024-8356: Código não Assinado no VIP MCU – Permite que atacantes façam upload de um firmware não autorizado, potencialmente garantindo controle sobre certos subsistemas veiculares.
No entanto, explorar as seis vulnerabilidades acima requer acesso físico ao sistema de infotainment.
Dmitry Janushkevich, pesquisador sênior de vulnerabilidades na ZDI, explica que um agente de ameaças poderia conectar com um dispositivo USB e realizar o ataque automaticamente em minutos.
Apesar desta limitação, o pesquisador nota que o acesso físico não autorizado é facilmente obtido, especialmente em estacionamentos com manobrista e durante serviços em oficinas ou concessionárias.
De acordo com o relatório, comprometer o sistema de infotainment de um carro usando as vulnerabilidades divulgadas poderia permitir a manipulação de banco de dados, divulgação de informações, criação de arquivos arbitrários, injeção de comandos arbitrários do OS que poderiam levar ao comprometimento total do sistema, ganho de persistência, e execução de código arbitrário antes do boot do sistema operacional.
Ao explorar o CVE-2024-8356, um agente de ameaça poderia instalar uma versão de firmware maliciosa e obter acesso direto aos controladores de rede conectados (barramentos CAN) e alcançar as unidades de controle eletrônico (ECUs) do veículo para o motor, freios, transmissão ou trem de força.
Janushkevich diz que a cadeia de ataque leva apenas alguns minutos, "desde conectar um drive USB até instalar uma atualização criada," em um ambiente controlado.
Contudo, um ataque direcionado também poderia comprometer dispositivos conectados e levar a negação de serviço, inutilização ou ransomware.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...