Mazda-systeem kwetsbaar voor aanval met malafide update op usb-stick
Verschillende kwetsbaarheden in het Connectivity Master Unit (CMU) systeem waar allerlei Mazda-modellen gebruik van maken zijn eenvoudig te misbruiken door alleen een usb-apparaat met malafide update aan te sluiten. Een aanvaller kan zo willekeurige code met rootrechten uitvoeren. De autofabrikant heeft nog geen beveiligingsupdates voor de in totaal zes beveiligingslekken uitgebracht, zo meldt securitybedrijf ZDI.
De CMU is verantwoordelijk voor onder andere de communicatie tussen bijvoorbeeld mobiele telefoons en bluetooth en het versturen en ontvangen van video-/audiosignalen met betrekking tot het entertainmentsysteem. Het systeem is kwetsbaar voor SQL en command injection, alsmede het gebruik van ongesigneerde code en ontbrekende Root of Trust in de hardware, wat in het ergste geval tot het uitvoeren van code met rootrechten kan leiden.
Alleen het aansluiten van een usb-apparaat, zoals een usb-stick, met een malafide updatebestand is hiervoor voldoende. Bij één van de kwetsbaarheden zijn geen specifieke exploitvereisten, zoals de geldigheid van het speciaal geprepareerde updatebestand. Een aanvaller sluit de usb-stick aan en de update wordt automatisch geladen. Zodra de eerste compromittering heeft plaatsgevonden kan de aanvaller het root-bestandssysteem manipuleren en zo 'persistence' verkrijgen en langere tijd actief blijven. Zo is het mogelijk een backdoor te installeren die ook na de herstart van het systeem blijft werken.
Het uitvoeren van de aanval vereist volgens de onderzoekers slechts een paar minuten. De onderzoekers merken op dat ze de aanvallen alleen in een labomgeving hebben getest , maar er geen aanleiding is om aan te nemen dat het CMU-systeem in een echte Mazda anders reageert. Via het gecompromitteerde CMU-systeem zijn vervolgens aangesloten systemen aan te vallen. Mazda heeft de problemen nog niet verholpen, aldus de onderzoekers. De kwetsbaarheden zijn onder andere aanwezig in de Mazda 3-modellen van 2014 tot en met 2021.
In de tekst staat nog niet verholpen en een serie modellen heeft dit probleem. Kortom ook auto's die geen servicebeurt (hiervoor) hebben ondergaan blijven kwetsbaar. Hoe is dit in de praktijk ? Mogelijk medium-level impact.
Waarbij ze als eerste toegang tot je auto moeten krijgen, en ten tweede hem ook nog eens moeten kunnen activeren/starten.
Dan hebben ze allang de hele auto meegenomen.
Risico zal hooguit in huurauto's voorkomen schat ik in.
"Mazda Motors Logistics Europe N.V. verplaatsen hun bedrijfskritieke VMware-omgevingen vanuit datacenters naar Oracle Cloud VMware Solution."
https://www.ictmagazine.nl/nieuws/ahold-delhaize-versnelt-afscheid-van-on-premises-datacenters-met-hulp-van-oci/
Medewerker heeft USB-stickje van de Albert Heijn bij Mazda geplugd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
