环保快讯-"黑白配BD"-开马自达的，危险了！

开马自达的，危险了！_ZAK黑白配BDER新闻

但10年期美国国债收益率自8月中旬以来已经降温，周四收于4.11%，

摘要：马自达汽车被爆出存在多个严重安全漏洞，黑客可通过 USB 设备执行任意代码，影响包括马自达 3、马自达 6 和马自达 CX-5 在内的多个车型。这些漏洞使得攻击者能够操纵数据库、创建文件，甚至可能控制车辆操作和安全。随着智能汽车技术的发展，网络安全问题日益凸显。最近，马自达汽车的安全漏洞问题引起了广泛关注，黑客可以利用这些漏洞对车辆进行攻击，严重威胁驾驶安全和个人隐私。安全研究人员在马自达的 Connectivity Master Unit ( CMU ) 系统中发现了多个关键漏洞。CMU 系统由 Visteon Corporation 制造，最初由 Johnson Controls Inc 开发，运行在多个马自达车型中。这些漏洞由于系统在处理攻击者提供的输入时 " 清洁度不足 " 而产生。漏洞信息如下：SQL 注入（CVE-2024-8355/ZDI-24-1208）：攻击者可以通过伪造 Apple 设备的 iAP 序列号来注入恶意 SQL 代码。这允许攻击者操纵数据库、泄露信息、创建任意文件并可能执行代码。操作系统命令注入（CVE-2024-8359/ZDI-24-1191）：libjcireflashua.so 共享对象中的 REFLASH_DDU_FindFile 函数无法清理用户输入，从而允许攻击者注入可由主机操作系统 shell 执行的任意操作系统命令。操作系统命令注入（CVE-2024-8360/ZDI-24-1192）：libjcireflashua 中的 REFLASH_DDU_ExtractFile 函数。因此，共享对象也无法清理用户输入，从而允许攻击者注入可由主机 OS shell 执行的任意 OS 命令。硬件中缺少信任根（CVE-2024-8357/ZDI-24-1189）：应用程序 SoC 缺少引导代码的任何身份验证，从而允许攻击者操纵根文件系统、配置数据，并可能操纵引导代码本身。未签名代码（CVE-2024-8356/ZDI-24-1188）：VIP MCU 可以使用未签名代码进行更新，从而允许攻击者从运行 Linux 的受感染应用程序 SoC 转向 VIP MCU，并直接访问车辆连接的 CAN 总线。研究者发现，攻击者可以通过连接一个特别制作的 USB 设备来利用这些漏洞。成功利用后，攻击者可以在 root 权限下执行任意代码。具体漏洞包括 SQL 注入、操作系统命令注入、硬件信任缺失以及未签名代码更新等。攻击者不仅可以操纵数据库、披露信息、创建文件，还可能执行代码，从而控制车辆网络。此外，攻击者可以通过安装后门系统组件实现持久性，甚至横向移动并安装精心制作的微控制器软件，以获得对车辆网络的无限制访问。目前，这些漏洞仍未被修补，攻击者可以在实验室环境中几分钟内完成攻击链。在现实世界中，这种攻击可能在车辆被代驾、共享汽车服务或通过 USB 恶意软件时发生。攻击可能导致服务拒绝（DoS）、设备损坏、勒索软件攻击等严重后果。此事件为汽车制造商在设计和部署智能汽车系统时敲响警钟，需要加强系统的安全测试，以确保消费者的安全和信任。同时，这也提醒了消费者在享受智能汽车带来的便利的同时，也要对潜在的安全风险保持警惕。来源：CN-SEC 中文网