Mazda Connect的漏洞可能导致一些Mazda车辆被黑客攻击

Trend Micro的Zero Day Initiative警告称，Mazda Connect infotainment系统存在多个漏洞，这些漏洞可能允许攻击者以 root 权限执行代码。这些漏洞是由于 Mazda Connect CMU 未对输入数据进行正确的输入-sanitization，导致攻击者可以使用一个精心设计的 USB 设备来攻击系统。这些漏洞影响了多款车型中的 Mazda Connect Connectivity Master Unit（CMU）系统，包括2014-2021年Mazda 3车型。

“在多种情况下，这些漏洞是由于处理攻击者供应的输入时，输入数据未被充分-sanitization所导致的。”报告中写道。 “物理存在的攻击者可以通过将一个精心设计的 USB 设备（例如 iPod 或 mass存储设备）连接到目标系统来攻击这些漏洞。某些漏洞的成功攻击结果是以 root 权限执行任意代码。”

研究目标是Visteon制造的CMU单元，软件最初由 Johnson Controls Inc.(JCI)开发。研究集中在最新软件版本（74.00.324A）上，但专家们认为，早期版本（至少70.x）也可能是漏洞的目标。CMU拥有一个活跃的modding社区，这些社区成员使用软件漏洞来改变单元的操作，已经发布了各种软件调整。截至发表，尚未发现公开漏洞在最新固件版本中。

以下是 ZDI 报告的漏洞：

• CVE-2024-8355：DeviceManager中的 SQL 注入漏洞，通过模拟 Apple 设备连接来执行数据库 manipulation 或代码执行。

• CVE-2024-8359 和 CVE-2024-8360：REFLASH_DDU_FindFile 和 REFLASH_DDU_ExtractFile中的命令注入漏洞，允许攻击者通过文件路径输入执行任意操作系统命令。

• CVE-2024-8358：UPDATES_ExtractFile中的命令注入漏洞，允许攻击者通过文件路径输入执行命令。

• CVE-2024-8357：App SoC 中缺乏根证书，风险是攻击者可以绕过引导安全检查以获取持久控制权。

• CVE-2024-8356：VIP MCU 中的无签名代码漏洞，允许攻击者未经授权上传固件，可能影响车辆子系统。

这些漏洞可能允许攻击者控制或 manipulative infotainment系统，并可能影响某些车辆功能和安全。这些问题尚未被修复，一些命令注入漏洞可能允许攻击者无限制地访问车辆网络。

原文始发于微信公众号（黑猫安全）：Mazda Connect的漏洞可能导致一些Mazda车辆被黑客攻击