Seis vulnerabilidades no parcheadas en un sistema de información y entretenimiento en el vehículo (IVI) de Mazda podrían explotarse con una simple unidad USB en unos momentos, y una de ellas tiene implicaciones legítimas para la seguridad del vehículo.
Hoy en día, los coches son sólo ordenadores sobre ruedas y los IVI son su interfaz de usuario. Los IVI en la mayoría de los vehículos Mazda de los últimos años, como el Mazda3 y el CX-3, 5 y 9, se construyen con la unidad central de conectividad (CMU) Mazda Connect, desarrollada por Visteon Corporation, con sede en Michigan. La CMU es un componente de hardware central que permite diversos servicios de conectividad: integración de teléfonos inteligentes, punto de acceso Wi-Fi y varias funciones de control y monitoreo remoto.
Una investigación reciente realizada como parte de la Iniciativa Día Cero (ZDI) de Trend Micro reveló media docena vulnerabilidades del Mazda IVI. Algunos de ellos permiten comprometer completamente el sistema y acceder a diversos datos confidenciales. Un elemento particularmente interesante podría permitir que un atacante gire hacia el vehículo. Bus CAN (red de área del controlador) — el sistema nervioso central que conecta sus diferentes elementos constituyentes.
A ninguna de las vulnerabilidades se le ha asignado todavía un valor según el Sistema de puntuación de vulnerabilidad común (CVSS). Todos ellos todavía no están solucionados al momento de escribir este artículo. En el lado positivo: todos requieren que un atacante inserte físicamente una unidad USB maliciosa en la consola central. Una situación así (realizada por un ladrón de coches, o posiblemente por un valet o un concesionario) es prácticamente inaudita en el mundo real hasta el día de hoy.
Dark Reading se ha puesto en contacto con Visteon para obtener más comentarios sobre esta historia.
6 errores de seguridad del Mazda IVI
Tres de las vulnerabilidades (CVE-2024-8358, CVE-2024-8359 y CVE-2024-8360) apuntan a funciones utilizadas para localizar y extraer archivos específicos durante las actualizaciones de software. Dado que la ruta del archivo proporcionada no está desinfectada, un atacante puede intervenir con su propia inyección maliciosa, que se ejecuta en el nivel raíz del sistema. Con un comando especialmente diseñado, este truco de un solo paso podría facilitar la toma de control completo del sistema.
Otra forma de eliminar este gato sería aprovechar CVE-2024-8357, que afecta al sistema en chip (SoC) CMU que ejecuta Linux. El proceso de arranque del SoC no cuenta con autenticación, por lo que un atacante con la capacidad de ejecutar código puede aprovechar esto para manipular archivos, establecer persistencia mediante reinicios y establecer el control del sistema incluso antes de su inicio.
El Mazda IVI; Fuente: Trend Micro ZDI
CVE-2024-8355 puede parecer un poco diferente de otros al principio, pero en realidad es causado por el mismo problema subyacente: la falta de desinfección de los datos de entrada.
Para establecer una conexión con un dispositivo Apple, la CMU le pedirá el número de serie del dispositivo. Como no examina este valor, un dispositivo falsificado puede enviar en su lugar un código SQL especialmente diseñado. El DeviceManager del sistema ejecutará este código en el nivel raíz, permitiendo todo tipo de resultados maliciosos: exponer bases de datos, crear archivos arbitrarios, etc.
Por último, pero no menos importante, CVE-2024-8356, una verificación que falta durante el proceso de actualización del software CMU. Sin embargo, esto afecta al otro procesador de la unidad, la Unidad de Microcontrolador IP de Verificación (VIP MCU). La MCU VIP está diseñada para estar separada del SoC por razones de seguridad, porque en lugar de ejecutar el sistema operativo, se conecta al bus CAN del vehículo. El bus CAN, a su vez, conecta el resto del vehículo: desde el aire acondicionado hasta el motor y los airbags. Con una imagen de firmware falsificada, ZDI demostró que es posible saltarse el SoC para manipular la MCU VIP y desde allí llegar al bus CAN.
Consecuencias graves pero improbables
«La verdad es que es difícil predecir lo que podría hacer un atacante una vez que obtenga acceso a un bus CAN», dice Dustin Childs, gerente de concientización sobre amenazas en ZDI. «Dado que el bus CAN sirve como sistema nervioso del vehículo, un actor malintencionado podría potencialmente afectar las unidades de control electrónico (ECU) o los componentes que interactúan con el bus CAN». Traducción: Los atacantes pueden derribar casi cualquier parte imaginable del vehículo.
«El peor de los casos sería que un atacante alterara las características de conducción del coche, haciéndolo inseguro», añade.
Sin embargo, la amenaza es insignificante. A pesar de todos los exploits que los investigadores han demostrado, los verdaderos delincuentes todavía se apegan a estos viejos y probados métodos de compromiso: un conjunto de claves robadas; un perchero extendido, hábilmente deslizado entre una ventana y el marco de una puerta; o una piedra, una ventana y un buen lanzamiento de béisbol.
«En este momento, no hay mucho impacto real», admite Childs. “Pero a medida que los automóviles se vuelven cada vez más conectados, la operación remota se vuelve más realista. Durante el último Pwn2Own Automotive, el equipo de Synacktiv Usé el módem Tesla Model 3. por el aire para alcanzar e interactuar con los sistemas a bordo del vehículo. Es sólo cuestión de tiempo que la adquisición completa y remota del vehículo sea una posibilidad real. »
Y añade: “Esta es la razón por la que los fabricantes deberían incorporar seguridad en cada componente y no depender de las defensas de otros módulos. Un vehículo debe tener un sistema de protección de múltiples capas que asuma que cada mensaje podría provenir de una fuente comprometida. problema ahora, más fácil será responder a él en el futuro. »