マツダのインフォテインメント システムに重大な脆弱性
ZDI (Zero Day Initiative) のサイバーセキュリティ研究者は、マツダのインフォテインメント システム、具体的には 2014 年から 2021 年までのマツダ 3 を含む複数のマツダ車モデルに搭載されているコネクティビティ マスター ユニット (CMU) にいくつかの重大な脆弱性があることを特定しました。
脆弱性の概要
CMU ユニットは自動車技術会社である Visteon Corporation によって製造され、当初は Johnson Controls Inc (JCI) によって開発されましたが、最新のソフトウェア バージョン (74.00.324A) で動作します。ただし、少なくとも 70.x までの以前のソフトウェア バージョンも、これらの脆弱性の影響を受ける可能性があります。
該当する脆弱性
- CVE-2024-8355 : DeviceManager での SQL インジェクション – 攻撃者が偽装した Apple デバイスを接続する際に悪意のある入力を挿入することで、データベースを操作したりコードを実行したりできるようになります。
- CVE-2024-8359 : REFLASH_DDU_FindFile のコマンド インジェクション – 攻撃者がファイル パス入力にコマンドを挿入することで、インフォテインメント システムで任意のコマンドを実行できるようになります。
- CVE-2024-8360 : REFLASH_DDU_ExtractFile でのコマンドインジェクション – 前の欠陥と同様に、攻撃者はサニタイズされていないファイルパスを通じて任意の OS コマンドを実行できます。
- CVE-2024-8358 : UPDATES_ExtractFile でのコマンド インジェクション – 更新プロセス中に使用されるファイル パスにコマンドを埋め込むことで、コマンド実行が可能になります。
- CVE-2024-8357 : アプリ SoC に信頼のルートがない – ブート プロセスにセキュリティ チェックがないため、攻撃者は攻撃後もインフォテインメント システムの制御を維持できます。
- CVE-2024-8356 : VIP MCU 内の未署名コード – 攻撃者が不正なファームウェアをアップロードし、特定の車両サブシステムを制御できるようになる可能性があります。
攻撃手法
なお、上記の 6 つの脆弱性を悪用するには、インフォテインメント システムへの物理的なアクセスが必要です。
この制限にもかかわらず、研究者は、特に係員付き駐車サービスや工場やディーラーでのサービス中に、不正な物理的アクセスが簡単に得られると指摘しています。
報告書によると、公開された脆弱性を利用して自動車のインフォテインメント システムを侵害すると、データベースの操作、情報漏洩、任意のファイルの作成、システムの完全な侵害につながる可能性のある任意の OS コマンドの挿入、永続性の獲得、オペレーティング システムの起動前の任意のコードの実行が可能になる可能性があるとしています。
車両の電子制御も制御可能に
またCVE-2024-8356 を悪用すると、脅威の攻撃者は悪意のあるファームウェア バージョンをインストールし、接続されているコントローラ エリア ネットワーク (CAN バス) に直接アクセスして、エンジン、ブレーキ、トランスミッション、またはパワートレイン用の車両の電子制御ユニット (ECU) に到達する可能性があります。
研究者によると制御された環境であれば、「USB ドライブの差し込みから細工されたアップデートのインストールまで」攻撃の連鎖はわずか数分で完了すると述べています。ただし、標的型攻撃では接続されたデバイスが侵害され、サービス拒否、ブリック、またはランサムウェア攻撃につながる可能性もあるとしています。
参照
Unpatched Mazda Connect bugs let hackers install persistent malware