Mazda

趋势科技ZDI部门研究人员发现，日本车厂马自达（Mazda）有多项漏洞，可让黑客运行代码，最严重者可影响车辆安全，受影响车款包括最受欢迎的Mazda 3。

出问题的Mazda车上娱乐系统（Connect Connectivity Master Unit，CMU）系统用于马自达多款车子，包括2014到2021年的Mazda 3。研究人员发现到的6项漏洞，多半源自处理输入指令时「消毒」（sanitization）不足，让接近设备的攻击者可以连上USB设备，像是iPod或外置硬盘到CMU上展开攻击。成功滥用这些漏洞可让攻击者以根权限运行任意程序，包括运行阻断服务攻击、勒索软件、让系统无法作用，甚至影响行车安全。

值得注意的是，ZDI指出，这些漏洞都尚未修补。依据安全业界的惯例，资安业者应该都已通报汽车或软、硬件业者。ZDI并未说明业者的态度或回应。

这款CMU是由美国汽车零组件制造商伟世通（Visteon）生产，内部软件原始开发商则是江森自控（Johnson Controls Inc, JCI）。漏洞出现在74.00.324A，但往前推到70.x版都可能受影响。 

第一项漏洞为CVE-2024-8355，在设备管理员（DeviceManager）软件的iAP串行号SQL指令注入漏洞。当攻击者插入苹果设备到CMU的SQL数据库时，后者从设备取出特定值，未经消毒就当成SQL声明使用，并以root权限运行。这可导致数据库被修改、泄露信息，添加或运行任意档。

CVE-2024-8359、CVE-2024-8360和CVE-2024-8358，则是出现在软件更新套件中的远程代码运行（RCE）漏洞，允许攻击者注入任意OS指令，而由设备OS Shell运行而骇入系统。

车载主机分成二个独立系统，一是运行Linux的应用SoC，另一个是运行特定OS的VIP MCU。CVE-2024-8357出于运行Linux的SoC开机未对启动代码（bootstrap code）运行验证，且其后的OS开机也都没任何验证，导致可在Linux系统运行程序的攻击者，还能修改根文件系统、变更配置档、修改启动代码，结果包括创建长期渗透后门程序、安装任意SSH密钥，或是运行任意代码。

CVE-2024-8356则是出在另一独立部分：VIP MCU。运行某种OS的MCU有多种功能，包括链接车机和车辆其他部份的网络功能CAN/LIN（controller area network/local interconnected network）。这部份也是车子的安全边界，使对应用SoC的攻击不会扩及车子其他部份。CVE-2024-8356漏洞允许攻击者修改字符串，使得更新过程允许，即修改过的恶意映像档（image）也能写入到VIP MCU内存中。连带也能让攻击者安装恶意版固件，从应用SoC得以扩及VIP MCU，进而直接存取车子的内部网络。

研究人员指出，滥用这些指令注入漏洞很简单。攻击者只需在FAT32格式的USB大容量硬盘创建文件，该文件命名必须以.up结尾，之后就会被CMU软件更新代码接受，并滥用3个指令漏洞。研究人员推测，若从映像档安装恶意VIP单片机（microcontroller）软件，即可存取车内网络，直接影响车子运作和行车安全。