Atacantes podem explorar várias vulnerabilidades na unidade de infotainment Mazda Connect, presente em múltiplos modelos de carro, incluindo o Mazda 3 (2014-2021), para executar códigos arbitrários com permissão de root.
Os problemas de segurança permanecem sem correção, e alguns deles são falhas de command injection que podem ser aproveitadas para obter acesso irrestrito às redes veiculares, impactando potencialmente a operação e segurança do veículo.
Pesquisadores encontraram as falhas na unidade de conectividade Mazda Connect da Visteon, com software inicialmente desenvolvido pela Johnson Controls.
Eles analisaram a última versão do firmware (74.00.324A), para a qual não há vulnerabilidades reportadas publicamente.
A CMU possui sua própria comunidade de usuários que a modificam para melhorar a funcionalidade (modding).
Entretanto, instalar as modificações depende de vulnerabilidades de software.
Em um relatório ontem, a iniciativa Zero-Day da Trend Micro (ZDI) explica que os problemas encontrados variam de SQL injection e command injection até código não assinado:
CVE-2024-8355: SQL Injection no DeviceManager – Permite que atacantes manipulem o banco de dados ou executem códigos inserindo entradas maliciosas ao conectar um dispositivo Apple falsificado.
CVE-2024-8359: Command Injection no REFLASH_DDU_FindFile – Permite que atacantes executem comandos arbitrários no sistema de infotainment injetando comandos em entradas de caminhos de arquivo.
CVE-2024-8360: Command Injection no REFLASH_DDU_ExtractFile – Similar à falha anterior, permite que atacantes executem comandos arbitrários do OS através de caminhos de arquivo não verificados.
CVE-2024-8358: Command Injection no UPDATES_ExtractFile – Permite a execução de comandos embutindo comandos em caminhos de arquivo usados durante o processo de atualização.
CVE-2024-8357: Falta de Root of Trust no App SoC – Carece de verificações de segurança no processo de boot, permitindo que atacantes mantenham controle sobre o sistema de infotainment após o ataque.
CVE-2024-8356: Código não Assinado no VIP MCU – Permite que atacantes façam upload de um firmware não autorizado, potencialmente garantindo controle sobre certos subsistemas veiculares.
No entanto, explorar as seis vulnerabilidades acima requer acesso físico ao sistema de infotainment.
Dmitry Janushkevich, pesquisador sênior de vulnerabilidades na ZDI, explica que um agente de ameaças poderia conectar com um dispositivo USB e realizar o ataque automaticamente em minutos.
Apesar desta limitação, o pesquisador nota que o acesso físico não autorizado é facilmente obtido, especialmente em estacionamentos com manobrista e durante serviços em oficinas ou concessionárias.
De acordo com o relatório, comprometer o sistema de infotainment de um carro usando as vulnerabilidades divulgadas poderia permitir a manipulação de banco de dados, divulgação de informações, criação de arquivos arbitrários, injeção de comandos arbitrários do OS que poderiam levar ao comprometimento total do sistema, ganho de persistência, e execução de código arbitrário antes do boot do sistema operacional.
Ao explorar o CVE-2024-8356, um agente de ameaça poderia instalar uma versão de firmware maliciosa e obter acesso direto aos controladores de rede conectados (barramentos CAN) e alcançar as unidades de controle eletrônico (ECUs) do veículo para o motor, freios, transmissão ou trem de força.
Janushkevich diz que a cadeia de ataque leva apenas alguns minutos, "desde conectar um drive USB até instalar uma atualização criada," em um ambiente controlado.
Contudo, um ataque direcionado também poderia comprometer dispositivos conectados e levar a negação de serviço, inutilização ou ransomware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...