Уязвимости в Mazda Connect позволяют устанавливать вредоносное ПО для выполнения произвольного кода с правами root
habr.comЭксперты по ИБ выяснили, что уязвимости в информационно-развлекательном блоке Mazda Connect, присутствующем в нескольких моделях автомобилей, включая Mazda 3 (2014-2021), позволяют хакерам устанавливать вредоносное ПО для выполнения произвольного кода с правами root.Примечательно, что эти проблемы безопасности остаются неисправленными уже некоторое время стороны как со стороны производителя, так и от поставщика электроники мультемедийных блоков машин.
Часть багов в прошивке являются критичными, так как позволяют получить неограниченный доступ к внутренним сетям передачи данных некоторых моделей автомобилей, что может повлиять на работу систем и безопасность транспортного средства.Исследователи обнаружили уязвимости в главном блоке подключения Mazda Connect (CMU) от Visteon с программным обеспечением, изначально разработанным Johnson Controls.Энтузиасты проанализировали последнюю версию прошивки (74.00.324A) CMU для Mazda и смогли выполнить там зловредные SQL-инъекции и даже запустить произвольный код в случае получения физического доступа к информационно-развлекательной системе машин Mazda.Найденные экспертами уязвимости: CVE-2024-8355: SQL-инъекция в DeviceManager — позволяет злоумышленникам манипулировать базой данных или выполнять сторонний код, вставляя вредоносный ввод данных при подключении поддельного устройства Apple; CVE-2024-8359: Command Injection в REFLASH_DDU_FindFile — позволяет злоумышленникам выполнять произвольные команды в информационно-развлекательной системе, внедряя команды во входные пути файлов; CVE-2024-8360: внедрение команд в REFLASH_DDU_ExtractFile — аналогично предыдущей уязвимости, она позволяет злоумышленникам выполнять произвольные команды ОС через несанкционированные пути к файлам; CVE-202
