趨勢科技披露，多個馬自達汽車型號的信息娛樂系統存在漏洞，可能會讓攻擊者以root權限執行任意代碼。這些未修補的漏洞影響多個車型，包括但不限于馬自達3、馬自達6和馬自達CX-5。

趨勢科技表示，漏洞原因是馬自達 CMU 系統沒有正確清理用戶提供的輸入，這就可能導致一個嚴重的后果：攻擊者可通過連接一個特別制作的USB設備來向系統發送命令。

具體來說，這個關鍵的安全漏洞（編號CVE-2024-8355 ）表現為，當一個新的蘋果設備連接時，CMU從設備中獲取幾個值并在SQL語句中使用它們而沒有進行清理。這允許攻擊者使用一個偽裝的設備回復請求，用特定的命令在娛樂信息系統上以root權限執行，導致數據庫操作、任意文件創建，以及潛在的代碼執行。

另外3個漏洞信息如下：

• CVE-2023-28674：娛樂系統中的信息泄露漏洞。
• CVE-2023-28675：可能導致代碼執行的棧緩沖區溢出漏洞。
• CVE-2023-28676：可能導致代碼執行的越界寫入漏洞。

第5個漏洞，被追蹤為CVE-2024-8357，存在是因為在運行Linux的應用SoC中沒有實現操作系統啟動步驟的認證，允許攻擊者操縱根文件系統、配置數據和引導代碼以實現持久性，SSH密鑰安裝和代碼執行。

第6個漏洞，CVE-2024-8356，影響頭部單元的第二系統，即運行未指定操作系統的MCU，支持CMU功能如CAN和LIN連接，并在CMU軟件中被識別為VIP字符串。

VIP在軟件更新過程中也會被更新，趨勢科技發現可以操縱特定的字符串，一旦被更新腳本接受，將導致驗證一個被修改的固件圖像，該圖像將被編程回VIP MCU。

總的來說，利用這些漏洞可以通過一個USB設備，其文件名包含要執行的操作系統命令。此外，將USB大容量存儲設備連接到車輛可以自動觸發軟件更新過程，促進命令注入漏洞的利用。

攻擊者可以安裝后門系統組件來實現持久性，可以橫向移動并安裝精心制作的VIP微控制器軟件，以獲得“對車輛網絡的無限制訪問，可能影響車輛操作和安全”。

趨勢科技表示，這種攻擊在實驗室環境中幾分鐘內就可以完成，即便在現實世界場景中也不會花費太長時間。CMU可以被破壞和“增強”，最終可能導致DoS、勒索攻擊等更嚴峻的問題，建議供應商及時進行修復。

參考鏈接：https://www.securityweek.com/unpatched-vulnerabilities-allow-hacking-of-mazda-cars-zdi/