当前位置:首页 / 新闻资讯 / 行业资讯

马自达CMU车机系统曝多项高危漏洞,可导致黑客远程执行代码

发布日期:2024-11-11     141 次

11 月 10 日消息,安全公司趋势科技近日发现日本汽车制造商马自达旗下多款车型的 CMU 车机系统(Connect Connectivity Master Unit)存在多项高危漏洞,可能导致黑客远程执行代码,危害驾驶人安全。

0.jpg

这些漏洞影响 2014 至 2021 年款 Mazda 3 等车型,涉及系统版本为 74.00.324A 的车机,黑客只需先控制受害者的手机,接着趁受害者将手机作为 USB 设备连接到 CMU 车机系统之机,即可利用相关漏洞以 root 权限运行任意代码,包括阻断车联服务、安装勒索软件、瘫痪车机系统,甚至直接危及驾驶安全。

0.jpg

▲ 涉及的 CMU 车机系统,图源趋势科技

趋势科技表示,具体关键漏洞包括:

CVE-2024-8355:DeviceManager 中的 iAP 序列号 SQL 注入漏洞。黑客可以通过连接苹果设备进行 SQL 注入,以 root 权限修改数据库,读取或执行任意代码。

CVE-2024-8359、CVE-2024-8360 和 CVE-2024-8358:这些漏洞允许攻击者在 CMU 的更新模块中注入任意指令,从而实现远程代码执行。

CVE-2024-8357:SoC 验证漏洞,由于 SoC 未对启动代码进行验证,使得黑客能够悄悄修改根文件系统,安装后门,甚至执行任意代码。

CVE-2024-8356:影响独立模块 VIP MCU 的漏洞。黑客可通过篡改更新文件,将恶意镜像文件写入 VIP MCU,进一步入侵汽车 CAN / LIN 控制网络,威胁车辆整体安全。

研究人员指出,相应漏洞的利用门槛较低,黑客只需在 FAT32 格式的 USB 硬盘上创建文件,命名为“.up”后缀即可被 CMU 识别为更新文件,从而执行多种恶意指令。结合上述漏洞,黑客即可通过恶意 MCU 固件实现对车载网络的控制,从而直接影响车辆的运行及安全。


为您精选

寻找更多销售、技术和解决方案的信息?

关于绿测

广州绿测电子科技有限公司(简称:绿测科技)成立于2015年11月,是一家专注于耕耘测试与测量行业的技术开发公司。绿测科技以“工程师的测试管家”的理念向广大客户提供专业的管家服务。绿测科技的研发部及工厂设立于广州番禺区,随着公司业务的发展,先后在广西南宁、深圳、广州南沙、香港等地设立了机构。绿测科技经过深耕测试与测量领域多年,组建了一支经验丰富的团队,可为广大客户提供品质过硬的产品及测试技术服务等支持。

绿测工场服务号
绿测工场服务号
绿测科技订阅号
绿测科技订阅号
020-2204 2442
Copyright @ 2015-2024 广州绿测电子科技有限公司 版权所有 E-mail:Sales@greentest.com.cn 粤ICP备18033302号