Les attaquants pourraient exploiter plusieurs vulnérabilités de l’unité d’infodivertissement Mazda Connect, présente dans plusieurs modèles de voitures, dont la Mazda 3 (2014-2021), pour exécuter du code arbitraire avec l’autorisation root.
Les problèmes de sécurité ne sont toujours pas corrigés et certains d’entre eux sont des failles d’injection de commandes qui pourraient être exploitées pour obtenir un accès illimité aux réseaux du véhicule, ce qui pourrait avoir un impact sur le fonctionnement et la sécurité de la voiture.
Détails de la vulnérabilité
Les chercheurs ont découvert les failles de l’unité principale de connectivité Mazda Connect de Visteon, avec un logiciel initialement développé par Johnson Controls. Ils ont analysé la dernière version du firmware (74.00.324A), pour laquelle aucune vulnérabilité n’a été signalée publiquement.
La CMU possède sa propre communauté d’utilisateurs qui la modifient pour améliorer les fonctionnalités (modding). Cependant, l’installation des réglages repose sur des vulnérabilités logicielles.
Dans un rapport publié hier, la Zero Day Initiative (ZDI) de Trend Micro explique que les problèmes découverts varient de l’injection SQL et de l’injection de commandes au code non signé :
- CVE-2024-8355: Injection SQL dans DeviceManager – Permet aux attaquants de manipuler la base de données ou d’exécuter du code en insérant une entrée malveillante lors de la connexion d’un appareil Apple usurpé.
- CVE-2024-8359: Injection de commandes dans REFLASH_DDU_FindFile – Permet aux attaquants d’exécuter des commandes arbitraires sur le système d’infodivertissement en injectant des commandes dans les entrées du chemin de fichier.
- CVE-2024-8360: Injection de commandes dans REFLASH_DDU_ExtractFile – Semblable à la faille précédente, elle permet aux attaquants d’exécuter des commandes arbitraires du système d’exploitation via des chemins de fichiers non nettoyés.
- CVE-2024-8358: Injection de commandes dans UPDATES_ExtractFile – Permet l’exécution de commandes en intégrant des commandes dans les chemins de fichiers utilisés pendant le processus de mise à jour.
- CVE-2024-8357: Racine de confiance manquante dans App SoC – Manque de contrôles de sécurité dans le processus de démarrage, permettant aux attaquants de garder le contrôle sur le système d’infodivertissement après l’attaque.
- CVE-2024-8356: Code non signé dans VIP MCU – Permet aux attaquants de télécharger un micrologiciel non autorisé, accordant potentiellement le contrôle de certains sous-systèmes du véhicule.
Exploitabilité et risques potentiels
L’exploitation des six vulnérabilités ci-dessus nécessite cependant un accès physique au système d’infodivertissement.
Dmitri Janouchkevitchchercheur principal en vulnérabilités chez ZDI, explique qu’un acteur malveillant pourrait se connecter à un périphérique USB et déployer l’attaque automatiquement en quelques minutes.
Malgré cette limitation, le chercheur note qu’un accès physique non autorisé est facilement obtenu, notamment dans les services de voiturier et lors du service dans les ateliers ou chez les concessionnaires.
Selon le rapport, compromettre le système d’infodivertissement d’une voiture à l’aide des vulnérabilités divulguées pourrait permettre la manipulation de bases de données, la divulgation d’informations, la création de fichiers arbitraires, l’injection de commandes arbitraires du système d’exploitation pouvant conduire à une compromission totale du système, l’obtention de persistance et l’exécution de code arbitraire avant l’opération. le système démarre.
En exploitant CVE-2024-8356, un acteur malveillant pourrait installer une version de micrologiciel malveillant et accéder directement aux réseaux de zone de contrôleur connectés (bus CAN) et atteindre les unités de commande électroniques (ECU) du véhicule pour le moteur, les freins, la transmission ou groupe motopropulseur.
Janushkevich affirme que la chaîne d’attaque ne prend que quelques minutes, « du branchement d’une clé USB à l’installation d’une mise à jour contrefaite », dans un environnement contrôlé. Cependant, une attaque ciblée pourrait également compromettre les appareils connectés et conduire à un déni de service, à un bricking ou à un ransomware.