Unpatched Mazda Connect bugs let hackers install persistent malware

攻撃者は、マツダ 3(2014-2021)を含む複数の車種に存在するマツダコネクトインフォテインメントユニットの複数の脆弱性を悪用し、root権限で任意のコードを実行する可能性がある。

これらのセキュリティ問題は依然としてパッチが適用されておらず、その一部はコマンドインジェクションの欠陥であるため、車両ネットワークへの無制限のアクセスを取得するために悪用される可能性があり、自動車の動作や安全性に影響を与える可能性があります。

脆弱性の詳細

研究者らは、ジョンソンコントロールズ社が最初に開発したソフトウェアを搭載したビステオン社のマツダコネクティビティマスターユニットに欠陥を発見した。研究者らはファームウェアの最新版(74.00.324A)を分析したが、このファームウェアには公に報告された脆弱性はない。

CMUには、機能性を向上させるためにCMUを修正する(Modding)ユーザーのコミュニティがある。しかし、Tweakのインストールはソフトウェアの脆弱性に依存している。

トレンドマイクロのゼロデイ・イニシアティブ(ZDI)は昨日のレポートで、発見された問題はSQLインジェクションやコマンドインジェクションから署名されていないコードまで様々であると説明している:

  • CVE-2024-8355:DeviceManagerにおけるSQLインジェクション – なりすましのAppleデバイスに接続する際に、悪意のある入力を挿入することで、攻撃者がデータベースを操作したり、コードを実行したりすることを可能にする。
  • CVE-2024-8359: REFLASH_DDU_FindFile におけるコマンドインジェクション – ファイルパスの入力にコマンドを挿入することで、攻撃者にインフォテインメントシステム上で任意のコマンドを実行させます。
  • CVE-2024-8360:CVE-2024-8360: REFLASH_DDU_ExtractFile におけるコマンドインジェクション – 以前の欠陥と同様、攻撃者が未消化のファイルパスを通して任意の OS コマンドを実行する可能性があります。
  • CVE-2024-8358:UPDATES_ExtractFile におけるコマンドインジェクション – アップデート処理中に使用されるファイルパスにコマンドを埋め込むことで、コマンドの実行を許してしまいます。
  • CVE-2024-8357:App SoC の Root of Trust の欠落 – ブートプロセスのセキュリティチェックが欠落しており、攻撃者が攻撃後もインフォテインメントシステムを制御し続けることを可能にします。
  • CVE-2024-8356: VIP MCU における未署名のコード – 攻撃者が未承認のファームウェアをアップロードすることを可能にし、特定の車両サブシステムの制御を許す可能性がある。

悪用可能性と潜在的リスク

上記の6つの脆弱性を悪用するには、インフォテインメント・システムに物理的にアクセスする必要がある。

ZDIのシニア脆弱性リサーチャーであるDmitry Janushkevich氏は、脅威行為者はUSBデバイスで接続し、数分以内に自動的に攻撃を展開できると説明している。

この制限にもかかわらず、研究者は、不正な物理的アクセスは、特にバレーパーキングやワークショップやディーラーでのサービス中に容易に入手可能であると指摘している。

報告書によると、公開された脆弱性を利用して自動車のインフォテインメント・システムを侵害すると、データベースの操作、情報の漏洩、任意のファイルの作成、システムの完全な侵害につながる任意のOSコマンドの注入、永続性の獲得、オペレーション・システムのブート前の任意のコードの実行などが可能になるという。

CVE-2024-8356を悪用することで、脅威者は悪意のあるファームウェア・バージョンをインストールし、接続されたコントローラ・エリア・ネットワーク(CANバス)に直接アクセスし、エンジン、ブレーキ、トランスミッション、またはパワートレイン用の車両の電子制御ユニット(ECU)に到達することができる。

Janushkevich氏によると、この攻撃チェーンは、制御された環境下であれば「USBドライブの接続から細工されたアップデートのインストールまで」、わずか数分で完了するという。しかし、標的型攻撃は接続されたデバイスを危険にさらし、サービス拒否やブリック、ランサムウェアにつながる可能性もある。