Redazione RHC : 11 Novembre 2024 19:10
Le vulnerabilità senza patch nel sistema di infotainment dei veicoli Mazda consentono agli aggressori di eseguire codice arbitrario con diritti di root, hanno riferito gli esperti della Trend Micro Zero Day Initiative (ZDI) .
Alcuni bug ti consentono di ottenere un accesso illimitato ai sistemi dell’auto, il che potrebbe potenzialmente comprometterne il funzionamento e la sicurezza. I ricercatori hanno scoperto delle vulnerabilità nella Mazda Connectivity Master Unit prodotta da Visteon, che è dotata di software sviluppato da Johnson Controls. Nella loro ricerca, gli esperti hanno studiato l’ultima versione del firmware (74.00.324A).
Sebbene la versione 74.00.324A non contenga ufficialmente vulnerabilità, esiste un’ampia comunità di modder che migliorano la funzionalità del sistema in vari modi. E molte di queste modifiche si basano sullo sfruttamento delle vulnerabilità.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] ![]() Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I bug scoperti da ZDI vanno dalle iniezioni SQL e iniezioni di comandi al codice non firmato:
È noto che i bug colpiscono le auto Mazda 3 prodotte dal 2014 al 2021, così come altri modelli del produttore. Come notato da Dmitry Yanushkevich, ricercatore senior sulle vulnerabilità presso ZDI, lo sfruttamento dei problemi elencati richiede l’accesso fisico al sistema di infotainment del veicolo. Pertanto, un utente malintenzionato può connettersi a un’auto utilizzando uno speciale dispositivo USB ed eseguire un attacco in pochi minuti.
Il ricercatore scrive che spesso non è così difficile ottenere l’accesso fisico non autorizzato a un’auto: ciò può accadere in un parcheggio, durante il servizio in una stazione di servizio o in una concessionaria. Di conseguenza, l’hacking del sistema di infotainment di un’auto utilizzando i bug elencati può portare alla manipolazione del database, alla divulgazione di informazioni, alla creazione di file arbitrari, all’inserimento di comandi arbitrari, alla completa compromissione del sistema, al radicamento di un utente malintenzionato nel sistema ed all’esecuzione di codice arbitrario prima di caricare il sistema operativo.
Si sottolinea separatamente che lo sfruttamento di CVE-2024-8356 consente l’installazione di una versione dannosa del firmware, che fornisce a un potenziale utente malintenzionato l’accesso diretto ai bus CAN e aiuta ad accedere alle unità di controllo del motore, dei freni, della trasmissione, e così via.
“In generale, ciò consente a un utente malintenzionato di passare da un’applicazione SoC compromessa che esegue Linux a un MCU VIP installando una versione appositamente preparata del firmware e successivamente ottenendo l’accesso diretto ai bus CAN collegati”, spiega ZDI. I ricercatori scrivono inoltre che un attacco mirato può portare alla compromissione dei dispositivi collegati, alla negazione del servizio, al fallimento completo e persino all’estorsione.
Attualmente, nessuna delle vulnerabilità è stata risolta e i rappresentanti Mazda non hanno ancora commentato la pubblicazione degli specialisti ZDI.
ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mir...
La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...