Gli Hacker possono prendere il controllo delle Mazda: ecco come!

Le vulnerabilità senza patch nel sistema di infotainment dei veicoli Mazda consentono agli aggressori di eseguire codice arbitrario con diritti di root, hanno riferito gli esperti della Trend Micro Zero Day Initiative (ZDI) . 

Alcuni bug ti consentono di ottenere un accesso illimitato ai sistemi dell’auto, il che potrebbe potenzialmente comprometterne il funzionamento e la sicurezza. I ricercatori hanno scoperto delle vulnerabilità nella Mazda Connectivity Master Unit prodotta da Visteon, che è dotata di software sviluppato da Johnson Controls. Nella loro ricerca, gli esperti hanno studiato l’ultima versione del firmware (74.00.324A).

Sebbene la versione 74.00.324A non contenga ufficialmente vulnerabilità, esiste un’ampia comunità di modder che migliorano la funzionalità del sistema in vari modi. E molte di queste modifiche si basano sullo sfruttamento delle vulnerabilità.

I bug scoperti da ZDI vanno dalle iniezioni SQL e iniezioni di comandi al codice non firmato:

• CVE-2024-8355 – L’iniezione SQL in DeviceManager consente la manipolazione del database, la creazione arbitraria di file e l’esecuzione di codice inserendo input dannosi quando viene collegato un dispositivo Apple contraffatto;
• CVE-2024-8359 L’inserimento di comandi in REFLASH_DDU_FindFile consente l’esecuzione di comandi arbitrari nel sistema di infotainment inserendo comandi nei percorsi dei file di input;
• CVE-2024-8360 – L’inserimento di comandi in REFLASH_DDU_ExtractFile consente inoltre l’esecuzione di comandi arbitrari tramite percorsi di file;
• CVE-2024-8358 – Un’altra iniezione di comando, questa volta in UPDATES_ExtractFile, consente l’esecuzione del comando mediante inserimento nei percorsi di file utilizzati nel processo di aggiornamento;
• CVE-2024-8357 – La mancanza di root-of-trust nel SoC dell’app e di controlli di sicurezza durante il processo di avvio consente agli aggressori di mantenere il controllo del sistema di infotainment dopo l’attacco iniziale.
• CVE-2024-8356 – Il codice non firmato nell’MCU VIP consente di caricare firmware di terze parti e assumere il controllo di vari sottosistemi del veicolo.

È noto che i bug colpiscono le auto Mazda 3 prodotte dal 2014 al 2021, così come altri modelli del produttore. Come notato da Dmitry Yanushkevich, ricercatore senior sulle vulnerabilità presso ZDI, lo sfruttamento dei problemi elencati richiede l’accesso fisico al sistema di infotainment del veicolo. Pertanto, un utente malintenzionato può connettersi a un’auto utilizzando uno speciale dispositivo USB ed eseguire un attacco in pochi minuti.

Il ricercatore scrive che spesso non è così difficile ottenere l’accesso fisico non autorizzato a un’auto: ciò può accadere in un parcheggio, durante il servizio in una stazione di servizio o in una concessionaria. Di conseguenza, l’hacking del sistema di infotainment di un’auto utilizzando i bug elencati può portare alla manipolazione del database, alla divulgazione di informazioni, alla creazione di file arbitrari, all’inserimento di comandi arbitrari, alla completa compromissione del sistema, al radicamento di un utente malintenzionato nel sistema ed all’esecuzione di codice arbitrario prima di caricare il sistema operativo.

Si sottolinea separatamente che lo sfruttamento di CVE-2024-8356 consente l’installazione di una versione dannosa del firmware, che fornisce a un potenziale utente malintenzionato l’accesso diretto ai bus CAN e aiuta ad accedere alle unità di controllo del motore, dei freni, della trasmissione, e così via.

“In generale, ciò consente a un utente malintenzionato di passare da un’applicazione SoC compromessa che esegue Linux a un MCU VIP installando una versione appositamente preparata del firmware e successivamente ottenendo l’accesso diretto ai bus CAN collegati”, spiega ZDI. I ricercatori scrivono inoltre che un attacco mirato può portare alla compromissione dei dispositivi collegati, alla negazione del servizio, al fallimento completo e persino all’estorsione.

Attualmente, nessuna delle vulnerabilità è stata risolta e i rappresentanti Mazda non hanno ancora commentato la pubblicazione degli specialisti ZDI.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.