مهاجمان میتوانند از چندین آسیبپذیری در واحد سیستم سرگرمی Mazda Connect که در مدلهای مختلف خودرو از جمله Mazda 3 (۲۰۱۴-۲۰۲۱) وجود دارد، سوءاستفاده کنند تا کد دلخواه را با دسترسی ریشه (root) اجرا کنند.
مشکلات امنیتی هنوز اصلاح نشدهاند و برخی از آنها اشکالات تزریق دستور (command injection) هستند که میتوانند برای دستیابی به دسترسی نامحدود به شبکههای خودرو مورد استفاده قرار گیرند و ممکن است بر عملکرد و ایمنی خودرو تأثیر بگذارند.
جزئیات آسیبپذیری
محققان این نقصها را در واحد اتصال Mazda Connect از Visteon پیدا کردند، با نرمافزاری که ابتدا توسط Johnson Controls توسعه داده شده بود. آنها جدیدترین نسخه از نرمافزار (فرمویر) را که نسخه ۷۴.۰۰.۳۲۴A است تحلیل کردند، که برای آن هیچ آسیبپذیری عمومی گزارش نشده است.
کاربران خاصی برای بهبود عملکرد واحد CMU آن را تغییر داده و تنظیمات جدیدی (modding) انجام میدهند، اما فرآیند نصب این تغییرات به آسیبپذیریهای نرمافزاری در سیستم وابسته است.
در گزارشی که توسط ابتکار عمل Zero Day از شرکت Trend Micro منتشر شده، مشکلات شناساییشده شامل انواع مختلف آسیبپذیریها مانند تزریق SQL، تزریق دستور، و کدهای بدون امضا میباشد.
آسیبپذیری CVE-2024-8355 مربوط به یک ضعف امنیتی در DeviceManager است که به مهاجمان اجازه میدهد با استفاده از تزریق SQL و وارد کردن ورودی مخرب هنگام اتصال دستگاه تقلبی اپل، پایگاه داده را دستکاری کرده یا کد دلخواه اجرا کنند.
آسیبپذیری CVE-2024-8359 که در تابع REFLASH_DDU_FindFile رخ داده است. این آسیبپذیری به مهاجمان اجازه میدهد تا با وارد کردن دستورات مخرب در ورودیهای مسیر فایل، دستورات دلخواه خود را بر روی سیستم سرگرمی خودرو اجرا کنند.
آسیبپذیری CVE-2024-8360 مشابه نقص قبلی است، با این تفاوت که در تابع REFLASH_DDU_ExtractFile رخ داده است. این آسیبپذیری به مهاجمان این امکان را میدهد که دستورات دلخواه سیستمعامل را از طریق مسیرهای فایل که به درستی تصفیه یا اعتبارسنجی نشدهاند، اجرا کنند.
آسیبپذیری CVE-2024-8358 که در تابع UPDATES_ExtractFile وجود دارد. این آسیبپذیری به مهاجمان این امکان را میدهد که با گنجاندن دستورات مخرب در مسیرهای فایل که در فرآیند بهروزرسانی استفاده میشوند، دستورات دلخواه خود را اجرا کنند.
آسیبپذیری CVE-2024-8357 به دلیل عدم وجود ریشه اعتماد در App SoC (سیستم روی چیپ برنامه) است. این نقص به این معنی است که در فرآیند راهاندازی دستگاه، بررسیهای امنیتی کافی انجام نمیشود. بنابراین، مهاجمان میتوانند پس از حمله، کنترل سیستم سرگرمی خودرو را در دست گرفته و آن را تحت نفوذ خود نگه دارند.
آسیبپذیری CVE-2024-8356 مربوط به VIP MCU است که در آن کدهای بدون امضا وجود دارند. این نقص به مهاجمان این امکان را میدهد که فرمویر غیرمجاز را وارد سیستم کنند و این کار ممکن است به آنها اجازه دهد که کنترل برخی از زیرسیستمهای خودرو را به دست گیرند.
قابلیت سوءاستفاده و خطرات بالقوه
با این حال، بهرهبرداری از شش آسیبپذیری فوق نیازمند دسترسی فیزیکی به سیستم سرگرمی است.
Dmitry Janushkevich، پژوهشگر ارشد آسیبپذیری در ZDI، توضیح میدهد که یک عامل تهدید میتواند با اتصال یک دستگاه USB و اجرای خودکار حمله در عرض چند دقیقه، به سیستم نفوذ کند.
اگرچه محدودیتی در بهرهبرداری از آسیبپذیریها وجود دارد، اما پژوهشگر توضیح میدهد که دسترسی فیزیکی غیرمجاز به سیستمها به راحتی قابل کسب است، مخصوصاً در مکانهایی مانند پارکینگهای خدماتی یا هنگام تعمیر و سرویس در کارگاهها یا نمایندگیها.
بهرهبرداری از آسیبپذیریهای شناساییشده در سیستم سرگرمی خودرو میتواند به انواع مختلفی از حملات منجر شود، از جمله دستکاری دادهها، افشای اطلاعات حساس، اجرای کد دلخواه و نفوذ کامل به سیستم. این آسیبپذیریها حتی ممکن است پیش از راهاندازی سیستمعامل به مهاجم امکان دسترسی دائمی به سیستم را بدهند.
با بهرهبرداری از CVE-2024-8356، یک عامل تهدید میتواند نسخهای از فرمویر مخرب را نصب کرده و بهطور مستقیم به شبکههای کنترلر ناحیهای متصل (CAN buses) دسترسی پیدا کند و به واحدهای کنترل الکترونیکی (ECUs) خودرو برای موتور، ترمزها، جعبه دنده یا سیستم انتقال قدرت دست یابد.
Janushkevich میگوید که حمله مورد نظر در شرایط کنترلشده فقط چند دقیقه زمان میبرد، از اتصال یک دستگاه USB تا نصب یک بروزرسانی دستکاریشده. با این حال، در یک حمله هدفمند، مهاجم میتواند دستگاههای متصل را آلوده کرده و باعث بروز مشکلاتی مانند اختلال در سرویس، خراب شدن دستگاهها یا اجرای حملات باجافزاری شود.