Seria podatności w systemach samochodów Mazda dotycząca Connectivity Master Unit

Czytelnicy z dłuższym stażem zapewne pamiętają podatność w samochodach Nissan i Mazda, która powodowała reboot systemu audio. Mazda ponownie ma problemy związane z błędami w systemie Mazda Connect Connectivity Master Unit (CMU), który wykorzystuje system operacyjny Linux i jest instalowany w wielu modelach samochodów tego producenta. Błędy zostały odkryte przez badaczy z Zero Day Initiative (ZDI).

TLDR:

• seria podatności w samochodach Mazda dotycząca Connectivity Master Unit
• jest SQLi, RCE, możliwość trwałego umieszczenia w systemie…
• wykorzystanie podatności zajmuje kilka minut
• wymagany jest fizyczny dostęp do urządzenia
• producent nie dostarczył poprawek

Znaleziony został cały szereg podatności:

CVE-2024-8355/ZDI-24-1208: DeviceManager iAP Serial Number – SQL Injection – błąd wynika z przekazywania informacji związanych z numerem seryjnym podłączanego urządzenia bez sanityzacji do zapytań SQL w celu ich zapisu w bazie danych. W efekcie może prowadzić do ujawnienia danych, manipulacji danymi, tworzenia plików, prawdopodobnie także do wykonania kodu. Długość payloadu jest ograniczona do 54 bajtów, ale prawdopodobnie możliwe jest obejście ograniczenia przez podłączanie kolejno kilku urządzeń.

Trzy kolejne błędy CVE-2024-8359/ZDI-24-1191, CVE-2024-8360/ZDI-24-1192, CVE-2024-8358/ZDI-24-1190 mają podobną genezę – wynikają z braku sanityzacji danych w ścieżkach plików dostarczonych przez użytkownika jako aktualizacja. Parametry takie jakścieżki oraz nazwy pliku są przekazywane do polecenia unzip wywoływanego za pomocą system(). Pozwala to napastnikowi na wykonanie ataku command injection przez sprawną manipulację wartościami. Polecenia wykonywane są z uprawnieniami root, co pozwala na przejęcie pełnej kontroli nad urządzeniem.

CVE-2024-8357/ZDI-24-1189: App SoC Missing Root of Trust in Hardware – błąd polega na braku jakichkolwiek mechanizmów kontroli poprawności danych i zabezpieczeń przed manipulacją w plikach wykorzystywanych podczas uruchamiania systemu. W praktyce pozwala to atakującemu na modyfikację plików bootstrap, dodanie kluczy SSH lub zmiany w plikach systemowych.

CVE-2024-8356/ZDI-24-1188: VIP MCU Unsigned Code – ostatni z błędów dotyczy dodatkowego modułu VIP MCU, który działa pod kontrolą innego, niesprecyzowanego systemu operacyjnego. Badacze wykazali, że istnieje możliwość dostarczenia zmodyfikowanego obrazu tego systemu z uwagi na brak kontroli autentyczności obrazu. Z uwagi na to, że VIP MCU posiada dostęp do magistrali CAN, może istnieć możliwość interakcji z innymi systemami samochodu, które są do niej podłączone.

Wykorzystanie błędów zajęło badaczom w laboratorium kilka minut i szacują, że w realnych warunkach ten czas nie będzie istotnie dłuższy. Na dzień dzisiejszy producent nie opublikował łatek. Na szczęście wykorzystanie podatności wymaga fizycznego dostępu, więc pozostaje nam zalecić… pilnowanie dostępu do aut.

~Paweł Różański