新聞資訊
436 次11 月 10 日消息,安全公司趨勢科技近日發現日本汽車制造商馬自達旗下多款車型的 CMU 車機系統(Connect Connectivity Master Unit)存在多項高危漏洞,可能導致黑客遠程執行代碼,危害駕駛人安全。
這些漏洞影響 2014 至 2021 年款 Mazda 3 等車型,涉及系統版本為 74.00.324A 的車機,黑客只需先控制受害者的手機,接著趁受害者將手機作為 USB 設備連接到 CMU 車機系統之機,即可利用相關漏洞以 root 權限運行任意代碼,包括阻斷車聯服務、安裝勒索軟件、癱瘓車機系統,甚至直接危及駕駛安全。
▲ 涉及的 CMU 車機系統,圖源趨勢科技
趨勢科技表示,具體關鍵漏洞包括:
CVE-2024-8355:DeviceManager 中的 iAP 序列號 SQL 注入漏洞。黑客可以通過連接蘋果設備進行 SQL 注入,以 root 權限修改數據庫,讀取或執行任意代碼。
CVE-2024-8359、CVE-2024-8360 和 CVE-2024-8358:這些漏洞允許攻擊者在 CMU 的更新模塊中注入任意指令,從而實現遠程代碼執行。
CVE-2024-8357:SoC 驗證漏洞,由于 SoC 未對啟動代碼進行驗證,使得黑客能夠悄悄修改根文件系統,安裝后門,甚至執行任意代碼。
CVE-2024-8356:影響獨立模塊 VIP MCU 的漏洞。黑客可通過篡改更新文件,將惡意鏡像文件寫入 VIP MCU,進一步入侵汽車 CAN / LIN 控制網絡,威脅車輛整體安全。
研究人員指出,相應漏洞的利用門檻較低,黑客只需在 FAT32 格式的 USB 硬盤上創建文件,命名為“.up”后綴即可被 CMU 識別為更新文件,從而執行多種惡意指令。結合上述漏洞,黑客即可通過惡意 MCU 固件實現對車載網絡的控制,從而直接影響車輛的運行及安全。
發布日期: 2023-11-28
發布日期: 2024-07-08
發布日期: 2024-02-06
發布日期: 2024-07-22
發布日期: 2024-05-09
發布日期: 2024-05-23
發布日期: 2024-09-30
發布日期: 2024-06-19
發布日期: 2025-05-19
發布日期: 2025-05-19
發布日期: 2025-05-19
發布日期: 2025-05-19
發布日期: 2025-05-19
