馬自達車上娛樂系統軟體漏洞可允許駭客執行任意程式碼

趨勢科技ZDI部門研究人員發現，日本車廠馬自達（Mazda）有多項漏洞，可讓駭客執行程式碼，最嚴重者可影響車輛安全，受影響車款包括最受歡迎的Mazda 3。

出問題的Mazda車上娛樂系統（Connect Connectivity Master Unit，CMU）系統用於馬自達多款車子，包括2014到2021年的Mazda 3。研究人員發現到的6項漏洞，多半源自處理輸入指令時「消毒」（sanitization）不足，讓接近裝置的攻擊者可以連上USB裝置，像是iPod或外接硬碟到CMU上展開攻擊。成功濫用這些漏洞可讓攻擊者以根權限執行任意程式，包括執行阻斷服務攻擊、勒索軟體、讓系統無法作用，甚至影響行車安全。

值得注意的是，ZDI指出，這些漏洞都尚未修補。依據安全業界的慣例，資安業者應該都已通報汽車或軟、硬體業者。ZDI並未說明業者的態度或回應。

這款CMU是由美國汽車零組件製造商偉世通（Visteon）生產，內部軟體原始開發商則是江森自控（Johnson Controls Inc, JCI）。漏洞出現在74.00.324A，但往前推到70.x版都可能受影響。 

第一項漏洞為CVE-2024-8355，在裝置管理員（DeviceManager）軟體的iAP序列號SQL指令注入漏洞。當攻擊者插入蘋果裝置到CMU的SQL資料庫時，後者從裝置取出特定值，未經消毒就當成SQL聲明使用，並以root權限執行。這可導致資料庫被修改、洩露資訊，新增或執行任意檔。

CVE-2024-8359、CVE-2024-8360和CVE-2024-8358，則是出現在軟體更新套件中的遠端程式碼執行（RCE）漏洞，允許攻擊者注入任意OS指令，而由裝置OS Shell執行而駭入系統。

車載主機分成二個獨立系統，一是執行Linux的應用SoC，另一個是執行特定OS的VIP MCU。CVE-2024-8357出於執行Linux的SoC開機未對啟動程式碼（bootstrap code）執行驗證，且其後的OS開機也都沒任何驗證，導致可在Linux系統執行程式的攻擊者，還能修改根檔案系統、變更配置檔、修改啟動程式碼，結果包括建立長期滲透後門程式、安裝任意SSH金鑰，或是執行任意程式碼。

CVE-2024-8356則是出在另一獨立部分：VIP MCU。執行某種OS的MCU有多種功能，包括連結車機和車輛其他部份的網路功能CAN/LIN（controller area network/local interconnected network）。這部份也是車子的安全邊界，使對應用SoC的攻擊不會擴及車子其他部份。CVE-2024-8356漏洞允許攻擊者修改字串，使得更新過程允許，即修改過的惡意映像檔（image）也能寫入到VIP MCU記憶體中。連帶也能讓攻擊者安裝惡意版韌體，從應用SoC得以擴及VIP MCU，進而直接存取車子的內部網路。

研究人員指出，濫用這些指令注入漏洞很簡單。攻擊者只需在FAT32格式的USB大容量硬碟建立檔案，該檔案命名必須以.up結尾，之後就會被CMU軟體更新程式碼接受，並濫用3個指令漏洞。研究人員推測，若從映像檔安裝惡意VIP微控制器（microcontroller）軟體，即可存取車內網路，直接影響車子運作和行車安全。