back to top
-1 C
New York

Bug Mazda Connect yang belum ditambal memungkinkan peretas memasang malware yang terus-menerus

Published:

Penyerang dapat mengeksploitasi beberapa kerentanan di unit infotainment Mazda Connect, yang terdapat di beberapa model mobil, termasuk Mazda 3 (2014-2021), untuk mengeksekusi kode arbitrer dengan izin root.

Masalah keamanan masih belum ditemukan, beberapa di antaranya adalah kelemahan injeksi perintah yang dapat dieksploitasi untuk mendapatkan akses tidak terbatas ke jaringan kendaraan, yang berpotensi mempengaruhi pengoperasian dan keamanan mobil.

Detail kerentanan

Peneliti menemukan kekurangan pada Mazda Connect Connectivity Master Unit dari Visteon, dengan perangkat lunak yang awalnya dikembangkan oleh Johnson Controls. Mereka menganalisis versi firmware terbaru (74.00.324A), yang tidak memiliki kerentanan yang dilaporkan secara publik.

CMU memiliki komunitas pengguna sendiri yang memodifikasinya untuk meningkatkan fungsionalitas (modding). Namun, menginstal tweak bergantung pada kerentanan perangkat lunak.

Dalam laporannya kemarin, Inisiatif Zero Day (ZDI) Trend Micro menjelaskan bahwa masalah yang ditemukan berkisar dari injeksi SQL dan injeksi perintah hingga kode yang tidak ditandatangani:

CVE-2024-8355: Injeksi SQL di DeviceManager – Memungkinkan penyerang memanipulasi database atau mengeksekusi kode dengan memasukkan input berbahaya saat menghubungkan perangkat Apple jahat. CVE-2024-8359: Injeksi perintah ke REFLASH_DDU_FindFile – Memungkinkan penyerang menjalankan perintah sewenang-wenang pada sistem infotainmen dengan memasukkan perintah ke input jalur file. CVE-2024-8360: Injeksi perintah di REFLASH_DDU_ExtractFile – Mirip dengan kelemahan sebelumnya, memungkinkan penyerang menjalankan perintah OS sewenang-wenang melalui jalur file yang salah. CVE-2024-8358: Injeksi perintah ke UPDATES_ExtractFile – Memungkinkan eksekusi perintah dengan menyematkan perintah ke jalur file yang digunakan selama proses pembaruan. CVE-2024-8357: Akar Kepercayaan pada Aplikasi SoC hilang – Pemeriksaan keamanan tidak ada dalam proses boot, yang memungkinkan penyerang mempertahankan kendali sistem infotainment setelah serangan. CVE-2024-8356: Kode Tidak Ditandatangani di VIP MCU – Memungkinkan penyerang mengunggah firmware tidak sah, yang berpotensi memberikan kendali atas subsistem kendaraan tertentu. Kemungkinan eksploitasi dan potensi risiko

Namun, untuk mengeksploitasi enam kerentanan yang tercantum di atas, diperlukan akses fisik ke sistem infotainment.

Dmitry Yanushkevich, peneliti kerentanan senior di ZDI, menjelaskan bahwa pelaku ancaman dapat terhubung ke perangkat USB dan secara otomatis melancarkan serangan dalam hitungan menit.

Terlepas dari keterbatasan ini, peneliti mencatat bahwa akses fisik yang tidak sah mudah didapat, terutama di tempat parkir kendaraan dan selama servis di bengkel atau dealer.

Menurut laporan tersebut, menyusupi sistem infotainment mobil menggunakan kerentanan yang ditemukan dapat memungkinkan manipulasi basis data, pengungkapan informasi, pembuatan file arbitrer, injeksi perintah OS arbitrer yang dapat menyebabkan kompromi sistem penuh, memperoleh persistensi dan mengeksekusi kode arbitrer sebelum sistem operasi sepatu bot.

Dengan mengeksploitasi CVE-2024-8356, pelaku ancaman dapat menginstal versi firmware berbahaya dan mendapatkan akses langsung ke jaringan area pengontrol yang terhubung (CAN bus) dan menjangkau unit kontrol elektronik (ECU) kendaraan untuk mesin, rem, transmisi. , atau pembangkit listrik.

Janushkiewicz mengatakan rantai serangan hanya membutuhkan waktu beberapa menit, “mulai dari mencolokkan drive USB hingga menginstal pembaruan yang dibuat,” dalam lingkungan yang terkendali. Namun, serangan yang ditargetkan juga dapat membahayakan perangkat yang terhubung dan menyebabkan penolakan layanan, phishing, atau ransomware.

Artikel terkait

Artikel Terbaru