《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > 馬自達(dá)CMU車(chē)機(jī)系統(tǒng)曝多項(xiàng)高危漏洞

馬自達(dá)CMU車(chē)機(jī)系統(tǒng)曝多項(xiàng)高危漏洞

可導(dǎo)致黑客遠(yuǎn)程執(zhí)行代碼
2024-11-11
來(lái)源:IT之家

11 月 10 日消息,安全公司趨勢(shì)科技近日發(fā)現(xiàn)日本汽車(chē)制造商馬自達(dá)旗下多款車(chē)型的 CMU 車(chē)機(jī)系統(tǒng)(Connect Connectivity Master Unit)存在多項(xiàng)高危漏洞,,可能導(dǎo)致黑客遠(yuǎn)程執(zhí)行代碼,,危害駕駛?cè)税踩?/p>

0.jpg

這些漏洞影響 2014 至 2021 年款 Mazda 3 等車(chē)型,,涉及系統(tǒng)版本為 74.00.324A 的車(chē)機(jī),,黑客只需先控制受害者的手機(jī),,接著趁受害者將手機(jī)作為 USB 設(shè)備連接到 CMU 車(chē)機(jī)系統(tǒng)之機(jī),,即可利用相關(guān)漏洞以 root 權(quán)限運(yùn)行任意代碼,,包括阻斷車(chē)聯(lián)服務(wù),、安裝勒索軟件,、癱瘓車(chē)機(jī)系統(tǒng),甚至直接危及駕駛安全,。

0.jpg

▲ 涉及的 CMU 車(chē)機(jī)系統(tǒng),,圖源趨勢(shì)科技

趨勢(shì)科技表示,具體關(guān)鍵漏洞包括:

CVE-2024-8355:DeviceManager 中的 iAP 序列號(hào) SQL 注入漏洞,。黑客可以通過(guò)連接蘋(píng)果設(shè)備進(jìn)行 SQL 注入,,以 root 權(quán)限修改數(shù)據(jù)庫(kù),讀取或執(zhí)行任意代碼,。

CVE-2024-8359,、CVE-2024-8360 和 CVE-2024-8358:這些漏洞允許攻擊者在 CMU 的更新模塊中注入任意指令,從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,。

CVE-2024-8357:SoC 驗(yàn)證漏洞,,由于 SoC 未對(duì)啟動(dòng)代碼進(jìn)行驗(yàn)證,,使得黑客能夠悄悄修改根文件系統(tǒng),安裝后門(mén),,甚至執(zhí)行任意代碼,。

CVE-2024-8356:影響?yīng)毩⒛K VIP MCU 的漏洞。黑客可通過(guò)篡改更新文件,,將惡意鏡像文件寫(xiě)入 VIP MCU,,進(jìn)一步入侵汽車(chē) CAN / LIN 控制網(wǎng)絡(luò),威脅車(chē)輛整體安全,。

研究人員指出,,相應(yīng)漏洞的利用門(mén)檻較低,黑客只需在 FAT32 格式的 USB 硬盤(pán)上創(chuàng)建文件,,命名為“.up”后綴即可被 CMU 識(shí)別為更新文件,,從而執(zhí)行多種惡意指令。結(jié)合上述漏洞,,黑客即可通過(guò)惡意 MCU 固件實(shí)現(xiàn)對(duì)車(chē)載網(wǎng)絡(luò)的控制,,從而直接影響車(chē)輛的運(yùn)行及安全。


Magazine.Subscription.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected],。