Злоумышленники могут использовать уязвимости в системе Mazda Connect для выполнения произвольного кода с правами root на ряде моделей Mazda, включая Mazda 3 (2014-2021). Эти проблемы остаются нерешенными и включают командные инъекции, открывая возможность неограниченного доступа к сетям автомобиля, что ставит под угрозу безопасность и работоспособность.
Исследователи обнаружили уязвимости в Connectivity Master Unit (CMU) от Visteon с ПО от Johnson Controls. Среди обнаруженных проблем — SQL-инъекции и командные инъекции, а также отсутствие корневого доверия и возможность загрузки неподписанного кода. Ключевые уязвимости включают:
- CVE-2024-8355 — SQL-инъекция в DeviceManager, позволяющая управлять базой данных через поддельные устройства.
- CVE-2024-8359, CVE-2024-8360, CVE-2024-8358 — командные инъекции в различных компонентах системы, что позволяет запускать произвольные команды.
- CVE-2024-8357 — отсутствие проверок безопасности при загрузке ПО.
- CVE-2024-8356 — возможность загрузки неподписанного кода, что открывает доступ к контроллерам транспортного средства.
Эксплуатация этих уязвимостей требует физического доступа, но остается реальной при обычных ситуациях, таких как парковка или обслуживание автомобиля. Подключив USB-устройство, злоумышленники могут за несколько минут внедрить вредоносное ПО, получить постоянный доступ к информационно-развлекательной системе и контроллерам автомобиля. Это позволяет манипулировать данными, выполнять произвольные команды, приводя к потенциальному отказу систем или шифровке данных.
Таким образом, эксплуатация выявленных уязвимостей может серьёзно повлиять на безопасность автомобиля, а также создать угрозу утечки данных или компрометации ключевых функций через подключенные системы.