马自达 CMU 车机系统曝多项高危漏洞，可导致黑客远程执行代码

近日，趋势科技安全研究团队发现日本汽车制造商马自达旗下多款车型的CMU车机系统存在多项高危漏洞。这些漏洞可能导致黑客远程执行代码，对驾驶人和车辆安全构成威胁。

据悉，这些漏洞影响2014至2021年款Mazda 3等车型，并涉及系统版本为74.00.324A的车机。黑客只需先控制受害者的手机，接着趁受害者将手机作为USB设备连接到CMU车机系统之机，即可利用相关漏洞以root权限运行任意代码。

具体来说，这些关键漏洞包括：

- CVE-2024-8355：DeviceManager中的iAP序列号SQL注入漏洞。黑客可以通过连接苹果设备进行SQL注入，以root权限修改数据库，读取或执行任意代码。

- CVE-2024-8359、CVE-2024-8360和CVE-2024-8358：这些漏洞允许攻击者在CMU的更新模块中注入任意指令，从而实现远程代码执行。

- CVE-2024-8357：SoC验证漏洞。由于SoC未对启动代码进行验证，黑客能够悄悄修改根文件系统，安装后门，甚至执行任意代码。

- CVE-2024-8356：影响独立模块VIP MCU的漏洞。黑客可通过篡改更新文件，在FAT32格式的USB硬盘上创建名为“.up”的文件，然后将其写入VIP MCU来入侵车载网络。

研究人员指出，这些漏洞的利用门槛较低。黑客只需在FAT32格式的USB硬盘上创建一个名为“.up”的文件，并将其命名为“device.usb”，然后插入到CMU车机系统中即可触发漏洞利用。

随着汽车行业数字化程度不断提高，车辆安全问题越来越受到关注。此次发现的漏洞对于确保马自达汽车乘客的安全至关重要。我们建议车主密切关注相关软件更新并遵循厂商提供的安全建议来最大程度地减少风险。同时，我们也将继续加强与相关部门的合作以确保整个行业的信息安全。