Les attaquants pourraient exploiter plusieurs vulnérabilités de l’unité d’infodivertissement Mazda Connect, présentes dans plusieurs modèles de voitures, dont la Mazda 3 (2014-2021), pour exécuter du code arbitraire avec l’autorisation root.
Les problèmes de sécurité restent non corrigés et certains d’entre eux sont des failles d’injection de commande qui pourraient être exploitées pour obtenir un accès illimité aux réseaux du véhicule, ce qui pourrait avoir un impact sur le fonctionnement et la sécurité de la voiture.
Détails de la vulnérabilité
Les chercheurs ont découvert les failles de l’unité principale de connectivité Mazda Connect de Visteon, avec un logiciel initialement développé par Johnson Controls. Ils ont analysé la dernière version du micrologiciel (74.00.324 A), pour laquelle il n’y a pas de vulnérabilités signalées publiquement.
La CMU a sa propre communauté d’utilisateurs qui la modifient pour améliorer les fonctionnalités (modding). Cependant, l’installation des ajustements repose sur des vulnérabilités logicielles.
Dans un rapport publié hier, Zero Day Initiative (ZDI) de Trend Micro explique que les problèmes découverts varient de l’injection SQL et de l’injection de commandes au code non signé:
CVE-2024-8355: Injection SQL dans DeviceManager-Permet aux attaquants de manipuler la base de données ou d’exécuter du code en insérant une entrée malveillante lors de la connexion d’un appareil Apple usurpé.
CVE-2024-8359: Injection de commandes dans REFLASH_DDU_FindFile-Permet aux attaquants d’exécuter des commandes arbitraires sur le système d’infodivertissement en injectant des commandes dans les entrées de chemin de fichier.
CVE-2024-8360: Injection de commandes dans REFLASH_DDU_ExtractFile-Similaire à la faille précédente, il permet aux attaquants d’exécuter des commandes arbitraires du système d’exploitation via des chemins de fichiers non nettoyés.
CVE-2024-8358: Injection de commandes dans UPDATES_ExtractFile-Permet l’exécution de commandes en incorporant des commandes dans les chemins de fichiers utilisés pendant le processus de mise à jour.
CVE-2024-8357: Racine de confiance manquante dans App SoC – Manque de contrôles de sécurité dans le processus de démarrage, permettant aux attaquants de garder le contrôle du système d’infodivertissement après l’attaque.
CVE-2024-8356: Code non signé dans le MCU VIP-Permet aux attaquants de télécharger un micrologiciel non autorisé, accordant potentiellement le contrôle de certains sous-systèmes du véhicule.
Exploitabilité et risques potentiels
L’exploitation des six vulnérabilités ci-dessus nécessite cependant un accès physique au système d’infodivertissement.
Dmitry Janushkevich, chercheur principal en vulnérabilité chez ZDI, explique qu’un auteur de menace pourrait se connecter avec un périphérique USB et déployer l’attaque automatiquement en quelques minutes.
Malgré cette limitation, le chercheur note qu’un accès physique non autorisé est facilement accessible, en particulier dans le service de voiturier et pendant l’entretien dans les ateliers ou chez les concessionnaires.
Selon le rapport, compromettre le système d’infodivertissement d’une voiture à l’aide des vulnérabilités divulguées pourrait permettre la manipulation de bases de données, la divulgation d’informations, la création de fichiers arbitraires, l’injection de commandes arbitraires du système d’exploitation pouvant entraîner une compromission complète du système, gagner en persistance et exécuter du code arbitraire avant le démarrage du système d’exploitation.
En exploitant CVE-2024-8356, un acteur malveillant pourrait installer une version de micrologiciel malveillante et accéder directement aux réseaux de zone de contrôleur connectés (bus CAN) et atteindre les unités de contrôle électronique (ECU) du véhicule pour le moteur, les freins, la transmission ou le groupe motopropulseur.
Janushkevich dit que la chaîne d’attaque ne prend que quelques minutes, « du branchement d’une clé USB à l’installation d’une mise à jour contrefaite », dans un environnement contrôlé. Cependant, une attaque ciblée pourrait également compromettre les appareils connectés et entraîner un déni de service, un piratage ou un ransomware.