Gli Hacker possono prendere il controllo delle Mazda: ecco come!

Redazione RHC : 11 Novembre 2024 19:10

Le vulnerabilità senza patch nel sistema di infotainment dei veicoli Mazda consentono agli aggressori di eseguire codice arbitrario con diritti di root, hanno riferito gli esperti della Trend Micro Zero Day Initiative (ZDI) . 

Alcuni bug ti consentono di ottenere un accesso illimitato ai sistemi dell’auto, il che potrebbe potenzialmente comprometterne il funzionamento e la sicurezza. I ricercatori hanno scoperto delle vulnerabilità nella Mazda Connectivity Master Unit prodotta da Visteon, che è dotata di software sviluppato da Johnson Controls. Nella loro ricerca, gli esperti hanno studiato l’ultima versione del firmware (74.00.324A).

Sebbene la versione 74.00.324A non contenga ufficialmente vulnerabilità, esiste un’ampia comunità di modder che migliorano la funzionalità del sistema in vari modi. E molte di queste modifiche si basano sullo sfruttamento delle vulnerabilità.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I bug scoperti da ZDI vanno dalle iniezioni SQL e iniezioni di comandi al codice non firmato:

• CVE-2024-8355 – L’iniezione SQL in DeviceManager consente la manipolazione del database, la creazione arbitraria di file e l’esecuzione di codice inserendo input dannosi quando viene collegato un dispositivo Apple contraffatto;
• CVE-2024-8359 L’inserimento di comandi in REFLASH_DDU_FindFile consente l’esecuzione di comandi arbitrari nel sistema di infotainment inserendo comandi nei percorsi dei file di input;
• CVE-2024-8360 – L’inserimento di comandi in REFLASH_DDU_ExtractFile consente inoltre l’esecuzione di comandi arbitrari tramite percorsi di file;
• CVE-2024-8358 – Un’altra iniezione di comando, questa volta in UPDATES_ExtractFile, consente l’esecuzione del comando mediante inserimento nei percorsi di file utilizzati nel processo di aggiornamento;
• CVE-2024-8357 – La mancanza di root-of-trust nel SoC dell’app e di controlli di sicurezza durante il processo di avvio consente agli aggressori di mantenere il controllo del sistema di infotainment dopo l’attacco iniziale.
• CVE-2024-8356 – Il codice non firmato nell’MCU VIP consente di caricare firmware di terze parti e assumere il controllo di vari sottosistemi del veicolo.

È noto che i bug colpiscono le auto Mazda 3 prodotte dal 2014 al 2021, così come altri modelli del produttore. Come notato da Dmitry Yanushkevich, ricercatore senior sulle vulnerabilità presso ZDI, lo sfruttamento dei problemi elencati richiede l’accesso fisico al sistema di infotainment del veicolo. Pertanto, un utente malintenzionato può connettersi a un’auto utilizzando uno speciale dispositivo USB ed eseguire un attacco in pochi minuti.

Il ricercatore scrive che spesso non è così difficile ottenere l’accesso fisico non autorizzato a un’auto: ciò può accadere in un parcheggio, durante il servizio in una stazione di servizio o in una concessionaria. Di conseguenza, l’hacking del sistema di infotainment di un’auto utilizzando i bug elencati può portare alla manipolazione del database, alla divulgazione di informazioni, alla creazione di file arbitrari, all’inserimento di comandi arbitrari, alla completa compromissione del sistema, al radicamento di un utente malintenzionato nel sistema ed all’esecuzione di codice arbitrario prima di caricare il sistema operativo.

Si sottolinea separatamente che lo sfruttamento di CVE-2024-8356 consente l’installazione di una versione dannosa del firmware, che fornisce a un potenziale utente malintenzionato l’accesso diretto ai bus CAN e aiuta ad accedere alle unità di controllo del motore, dei freni, della trasmissione, e così via.

“In generale, ciò consente a un utente malintenzionato di passare da un’applicazione SoC compromessa che esegue Linux a un MCU VIP installando una versione appositamente preparata del firmware e successivamente ottenendo l’accesso diretto ai bus CAN collegati”, spiega ZDI. I ricercatori scrivono inoltre che un attacco mirato può portare alla compromissione dei dispositivi collegati, alla negazione del servizio, al fallimento completo e persino all’estorsione.

Attualmente, nessuna delle vulnerabilità è stata risolta e i rappresentanti Mazda non hanno ancora commentato la pubblicazione degli specialisti ZDI.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli