Mazda Connect に複数の脆弱性:2014~2021年モデルの MAZDA 3 などに影響

Mazda Connect flaws allow to hack some Mazda vehicles

2024/11/09 SecurityAffairs — Trend Micro の Zero Day Initiative が警告するのは、Mazda Connect インフォテインメン・トシステムに存在する複数の脆弱性を悪用する攻撃者が、ルート権限でコードを実行する可能性を手にするというものだ。この問題は、Mazda Connect CMU (Connectivity Master Unit) における不適切な入力サニタイズに起因するものであり、物理的なアクセスが可能な攻撃者が、細工した USB デバイスを介してシステムを侵害できるというものだ。

この脆弱性が影響を及ぼす範囲は、2014~2021年モデルの MAZDA 3 などの複数の車種に搭載されている、Mazda Connect CMU システムとなる。

ZDI のレポートには、「2014~2021年モデルの MAZDA 3 などの、複数の車種に搭載されている Mazda Connect CMU システムに複数の脆弱性が発見された。これらの脆弱性は、攻撃者からの入力を処理する際の、不十分なサニタイズが原因で発生する」と記されている。

さらに ZDI は、「物理的なアクセスが可能な攻撃者は、特別に細工された USB デバイス (iPod や大容量ストレージ ・デバイスなど) を、ターゲット・システムに対して接続することで、これらの脆弱性を悪用できる。これらの脆弱性の一部が悪用されると、ルート権限で任意のコードが実行される」と付け加えられている。

この調査は、Visteon 社製の CMU ユニットを対象としているが、当初のソフトウェアは Johnson Controls Inc (JCI) 社により開発されていた。この調査は、最新のソフトウェア・バージョン 74.00.324A に焦点を当てるものだが、以前のバージョン (70.x) も脆弱な可能性があると、専門家たちは考えている。この CMU には、ソフトウェアの脆弱性を悪用してユニットの動作を変更するという、アクティブな改造コミュニティが存在し、さまざまなソフトウェアがリリースされている。ただし、今回の脆弱性が公開された時点では、最新のファームウェア・バージョンにおける、既知の欠陥の悪用は確認されていないという。

ZDI が報告した脆弱性は次のとおりである:

  • CVE-2024-8355:DeviceManager の SQL インジェクション。偽装された Apple デバイス接続を介して、データベースの不正な操作/コード実行などを可能にする。
  • CVE-2024-8359/CVE-2024-8360:REFLASH_DDU_FindFile および REFLASH_DDU_ExtractFile のコマンド・インジェクションにより、ファイル・パス入力を通じて任意の OS コマンドを実行できる。
  • CVE-2024-8358:UPDATES_ExtractFile のコマンド・インジェクションにより、ファイル・パスを介したコマンド実行が、更新中に可能になる。
  • CVE-2024-8357:App SoC に信頼のルートがないため、ブート・セキュリティ・チェックをバイパスし、攻撃者による永続的な制御のリスクが生じる。
  • CVE-2024-8356:VIP MCU の未署名コードの脆弱性により、車両サブシステムに影響を与える可能性がある、不正なファームウェアのアップロードが可能になる。

これらの脆弱性により、インフォテインメント・システムに対する攻撃者による制御/操作が達成され、特定の機能や安全性に影響が及ぶ可能性が生じる。

これらの問題は、現時点において修正されていない。したがって、コマンド・インジェクションの脆弱性を悪用する攻撃者により、車両ネットワークへの無制限のアクセスが生じる可能性がある。

研究者たちがラボ環境で実証したのは、USB の挿入から細工されたアップデートのインストールまでの攻撃には、わずか数分しか要さなかったことだ。この素早い侵害により、USB マルウェアを介して車両が標的となり、バレット・サービス/ライド シェアリングなどに影響が及ぶ可能性がある。いったん侵害が生じると、接続されたデバイスを標的にするように CMU が変更される可能性が生じ、サービス拒否 (DoS)/デバイスの Bricking/ランサムウェア攻撃などに加えて、安全性に関する問題が引き起こされる可能性もある。

このレポートは、「その後に、CMU が侵害され、その度合が強化されると、たとえば、DoS/Bricking/ランサムウェア攻撃などの、安全性の問題などを引き起こす標的型攻撃へといたる可能性がある」と結論付けている。

マツダのインフォテイメント・システムに脆弱性が存在し、それらを悪用する兆しが見えているようです。ただし、USB デバイスなどによる、物理的なアクセスが必要なので、その点では、少しリスクが緩和されます。2022/03/30 にも、「Mazda のインフォテインメントに発生した障害:セキュア・コーディングだけで防げるのか?」という記事があります。Infotainment で検索と併せて、ご参照ください。