Mehrere Schwachstellen im Mazda In-Vehicle-Infotainmentsystem entdeckt

Am 7. November 2024 meldete Sicherheitsforscher Dmitry Janushkevich, dass mehrere kritische Schwachstellen im Mazda Connect Connectivity Master Unit (CMU) System entdeckt wurden, das in Mazda-Fahrzeugmodellen von 2014 bis 2021 verbaut ist. Diese Schwachstellen, die durch unzureichende Validierung von Eingaben verursacht werden, ermöglichen es Angreifern mit physischem Zugriff, über manipulierte USB-Geräte wie iPods oder Massenspeichergeräte beliebigen Code mit Root-Rechten auszuführen.

Die untersuchte CMU-Einheit wurde von Visteon gefertigt, wobei die Software von Johnson Controls Inc (JCI) entwickelt wurde. Das System läuft auf einem Linux-basierten Betriebssystem, und die Sicherheitslücken betreffen sowohl die Speicherverwaltung als auch den Update-Prozess. Der Zugriff erfolgt über eine nicht ausreichend gesicherte Schnittstelle zur Softwareaktualisierung, die es einem Angreifer ermöglicht, über USB angeschlossene Speichergeräte mit speziell gestalteten Dateinamen zu missbrauchen, um beliebige OS-Befehle auszuführen.

Einige der dokumentierten Schwachstellen umfassen:

  • SQL-Injections: Die fehlende Sanitisierung der Serialnummern-Eingaben ermöglicht Angreifern, SQL-Befehle auf der Infotainment-Einheit auszuführen und die Datenbank zu manipulieren.
  • Kommando-Injections: Über unsichere Funktionen im Update-Prozess können Angreifer systemeigene Kommandos einfügen und ausführen, was eine vollständige Kontrolle über das System erlaubt.
  • Fehlende Authentifizierung: Die VIP-Mikrocontroller-Software ermöglicht es Angreifern, modifizierte Firmware-Versionen hochzuladen und so den CAN-Bus zu manipulieren.

Die beschriebenen Schwachstellen können von einem Angreifer innerhalb weniger Minuten ausgenutzt werden. Da der gesamte Angriff lediglich ein USB-Gerät und physische Anwesenheit voraussetzt, ist das Infotainmentsystem für Bedrohungen wie Ransomware oder Manipulation der Fahrzeugsteuerung anfällig. Diese Art von Angriff könnte im Fahrzeugumfeld erhebliche Sicherheitsrisiken bergen, insbesondere wenn ein modifizierter Controller den CAN-Bus manipulieren und auf sicherheitskritische Systeme zugreifen kann.

Related Posts

HPE Aruba Netzwerke: Kritische Sicherheitslücken in Access Points entdeckt

Hewlett Packard Enterprise (HPE) hat am 5. November 2024 ein Sicherheitsbulletin veröffentlicht, das mehrere kritische Sicherheitslücken in HPE Aruba Access Points beschreibt. Betroffen sind Access Points, die die Software-Versionen Instant AOS-8 und AOS-10 verwenden, insbesondere ältere Versionen vor 10.4.1.5 und 8.12.0.3. Die Sicherheitslücken ermöglichen Remote-Code-Ausführung und unauthentifizierte Kommandoinjektionen.

Read More

Sicherheitslücke in Veeam Backup Enterprise Manager (CVE-2024-40715)

Am 6. November 2024 wurde eine schwerwiegende Sicherheitslücke (CVE-2024-40715) in Veeam Backup Enterprise Manager veröffentlicht, die es Angreifern ermöglicht, die Authentifizierung durch Man-in-the-Middle-Angriffe zu umgehen. Betroffen sind Veeam Backup & Replication Versionen 10 bis 12.2. Die Schwachstelle, gemeldet von ZDI über Hacker One, erhielt eine CVSS v3.1 Bewertung von 7,7 (hoch).

Read More

Kritische SQL-Injection Schwachstelle in OpenSource CCTV Software ZoneMinder

Eine schwerwiegende Sicherheitslücke in der Überwachungssoftware ZoneMinder Version 1.37. bis einschließlich 1.37.64* ermöglicht eine boolean-basierte SQL-Injection. Diese Schwachstelle, die unter der CVE-ID CVE-2024-51482 erfasst wurde, erlaubt Angreifern die Ausführung schädlicher SQL-Befehle über eine manipulierte Anfrage an die Funktion removetag in der Datei web/ajax/event.php. Hierbei wird der Parameter tid direkt in eine SQL-Abfrage eingefügt, ohne ordnungsgemäße Validierung oder Bereinigung.

Read More