Mazda-systeem kwetsbaar voor aanval met malafide update op usb-stick
Verschillende kwetsbaarheden in het Connectivity Master Unit (CMU) systeem waar allerlei Mazda-modellen gebruik van maken zijn eenvoudig te misbruiken door alleen een usb-apparaat met malafide update aan te sluiten. Een aanvaller kan zo willekeurige code met rootrechten uitvoeren. De autofabrikant heeft nog geen beveiligingsupdates voor de in totaal zes beveiligingslekken uitgebracht, zo meldt securitybedrijf ZDI.
De CMU is verantwoordelijk voor onder andere de communicatie tussen bijvoorbeeld mobiele telefoons en bluetooth en het versturen en ontvangen van video-/audiosignalen met betrekking tot het entertainmentsysteem. Het systeem is kwetsbaar voor SQL en command injection, alsmede het gebruik van ongesigneerde code en ontbrekende Root of Trust in de hardware, wat in het ergste geval tot het uitvoeren van code met rootrechten kan leiden.
Alleen het aansluiten van een usb-apparaat, zoals een usb-stick, met een malafide updatebestand is hiervoor voldoende. Bij één van de kwetsbaarheden zijn geen specifieke exploitvereisten, zoals de geldigheid van het speciaal geprepareerde updatebestand. Een aanvaller sluit de usb-stick aan en de update wordt automatisch geladen. Zodra de eerste compromittering heeft plaatsgevonden kan de aanvaller het root-bestandssysteem manipuleren en zo 'persistence' verkrijgen en langere tijd actief blijven. Zo is het mogelijk een backdoor te installeren die ook na de herstart van het systeem blijft werken.
Het uitvoeren van de aanval vereist volgens de onderzoekers slechts een paar minuten. De onderzoekers merken op dat ze de aanvallen alleen in een labomgeving hebben getest , maar er geen aanleiding is om aan te nemen dat het CMU-systeem in een echte Mazda anders reageert. Via het gecompromitteerde CMU-systeem zijn vervolgens aangesloten systemen aan te vallen. Mazda heeft de problemen nog niet verholpen, aldus de onderzoekers. De kwetsbaarheden zijn onder andere aanwezig in de Mazda 3-modellen van 2014 tot en met 2021.
In de tekst staat nog niet verholpen en een serie modellen heeft dit probleem. Kortom ook auto's die geen servicebeurt (hiervoor) hebben ondergaan blijven kwetsbaar. Hoe is dit in de praktijk ? Mogelijk medium-level impact.
Waarbij ze als eerste toegang tot je auto moeten krijgen, en ten tweede hem ook nog eens moeten kunnen activeren/starten.
Dan hebben ze allang de hele auto meegenomen.
Risico zal hooguit in huurauto's voorkomen schat ik in.
"Mazda Motors Logistics Europe N.V. verplaatsen hun bedrijfskritieke VMware-omgevingen vanuit datacenters naar Oracle Cloud VMware Solution."
https://www.ictmagazine.nl/nieuws/ahold-delhaize-versnelt-afscheid-van-on-premises-datacenters-met-hulp-van-oci/
Medewerker heeft USB-stickje van de Albert Heijn bij Mazda geplugd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
