图灵汇官网

图灵汇11月10日报道，趋势科技近期发现马自达部分车型的CMU车机系统存在多个高危漏洞，可能使黑客能够远程执行代码，威胁驾驶人的安全。

受影响的车型包括2014年至2021年款的Mazda 3等，涉及系统版本为74.00.324A的车机。黑客可以通过控制受害者的手机，当受害者将手机作为USB设备连接到CMU车机系统时，利用这些漏洞以root权限运行任意代码，包括干扰车联服务、安装勒索软件、瘫痪车机系统，甚至危及驾驶安全。

趋势科技详细列举了几个关键漏洞：

• CVE-2024-8355：DeviceManager中的iAP序列号SQL注入漏洞。黑客可通过连接苹果设备进行SQL注入，以root权限修改数据库，读取或执行任意代码。
• CVE-2024-8359、CVE-2024-8360和CVE-2024-8358：这些漏洞允许攻击者在CMU的更新模块中注入任意指令，从而实现远程代码执行。
• CVE-2024-8357：SoC验证漏洞。由于SoC未对启动代码进行验证，黑客能够悄悄修改根文件系统，安装后门，甚至执行任意代码。
• CVE-2024-8356：影响独立模块VIP MCU的漏洞。黑客可通过篡改更新文件，将恶意镜像文件写入VIP MCU，进而入侵汽车CAN/LIN控制网络，威胁车辆的整体安全。

研究团队指出，这些漏洞的利用门槛较低，黑客只需在FAT32格式的USB硬盘上创建名为“.up”的文件，该文件会被CMU识别为更新文件，从而执行多种恶意指令。结合这些漏洞，黑客能够通过恶意MCU固件控制车载网络，直接影响车辆的运行和安全。