Visteon infotainment中存在CVE-2024-8355等漏洞
Visteon infotainment 技术是Visteon公司提供的车载信息娱乐系统技术,Visteon是全球领先的汽车零部件供应商,专注于数字驾驶舱市场。
一、基本情况
Visteon infotainment技术不仅提升车辆信息娱乐体验,还展示在汽车电子领域的技术创新和制造能力,在数字驾驶舱市场中占据重要地位。
Visteon的infotainment系统支持OTA(Over-The-Air)升级,用户可以实现直接通过无线网络更新系统软件,保持系统最新功能和安全性。
二、漏洞分析
CMU 在 Mod 社区中很受欢迎,它由 Visteon 制造,它已经发布了软件调整来修改其操作,并运行最初由 Johnson Controls 开发的软件。
栋科技漏洞库关注到Visteon Infotainment中的多个漏洞,追踪为CVE-2024-8355至CVE-2024-8360,CVSS评分为基本为6.0至8.8不等。
CVE-2024-8355
CVE-2024-8355是Visteon Infotainment System DeviceManager中存在的一个iAP Serial Number SQL注入漏洞,漏洞的CVSS评分为6.0。
该漏洞存在于Visteon infotainment System DeviceManager在处理在处理iAP序列号的过程中,在用户提供的字符串上未进行适当的验证。
漏洞具体存在于DeviceManager,使用它可构建SQL查询,漏洞允许物理在场的攻击者在Visteon Infotainment受影响安装上执行任意代码。
该漏洞被利用不需要进行身份验证,攻击者可以通过连接苹果设备进行SQL注入,从而可以以root权限修改数据库,读取或执行任意代码。
CVE-2024-8355漏洞的存在,允许当连接新的 Apple 设备时,CMU会从设备中获取多个值,并在 SQL 语句中使用它们,而无需进行清理。
允许攻击者使用欺骗设备使用特定命令回复请求,以root权限在Visteon infotainment上执行,导致数据库操作、任意文件创建并执行代码。
由于输入的明显长度限制为 0x36 字节,因此该漏洞的利用在一定程度上受到限制,但可通过让几个伪造的iPod一个接一个地连接来实现。
毕竟每个 iPod 都有自己的注入 SQL 语句来代替序列号。
CVE-2024-8356
CVE-2024-8356是Visteon Infotainment VIP MCU 代码数据真实性验证不足,而导致的一个本地权限提升漏洞,该漏洞的CVSS评分为8.8。
该漏洞具体存在于VIP微控制器的固件更新过程中,在编程固件映像到内部存储器之前,该过程没有正确地验证提供的固件映像的真实性。
该漏洞允许本地攻击者在受影响的Visteonn infotainment System安装程序中提升权限,从而可以VIP MCU的上下文中实现任意代码执行。
该漏洞影响独立模块VIP MCU,通过篡改更新文件在FAT32格式的USB硬盘上创建名为“.up”的文件,将其写入VIP MCU来入侵车载网络。
该漏洞影响音响主机第二个系统,即运行未指定操作系统MCU,该操作系统支持CAN和LIN连接等CMU功能,并在CMU中被标识为 VIP。
该漏洞利用需要前提条件,即攻击者首先需要在目标系统上获得执行低权限代码的能力,该漏洞危险性较高,建议立即更新系统予以修复。
CVE-2024-8357
CVE-2024-8357是Visteon Infotainment 中存在的一个SoC 缺少硬件本地权限不可变信任根而导致的提升漏洞,该漏洞的CVSS评分为7.8。
该漏洞具体存在于应用芯片系统(SoC)的配置中,源于硬件根信任配置不当,攻击者利用该漏洞提升特权并在启动过程中执行任意代码。
该漏洞属于SoC验证漏洞,具体而言是由于SoC未对启动代码进行验证,黑客可以悄悄地修改根文件系统,安装后门甚至是执行任意代码。
该漏洞允许本地攻击者在Visteon Infotainment受影响安装上提升特权。虽然利用该漏洞需要进行身份验证,但现有身份验证机制可以绕过。
该漏洞未对运行Linux应用程序SoC中操作系统启动步骤实施身份验证,允许攻击者操纵根文件系统、配置数据和引导代码实现持久性等。
此外还可以实现SSH 密钥安装和代码执行。软件更新过程中VIP 也会更新,因此次可以操纵特定字符串,通过更新脚本接受这些字符串,
从而导致验证修改后的固件映像,该映像将被编程回VIP MCU,允许攻击者通过安装精心设计的固件版本,直接访问车辆连接CAN总线,
从运行 Linux 的受感染应用程序 SoC 转向 VIP MCU,然后可以通过 USB 设备利用这些缺陷,该设备的文件包含要执行的操作系统命令。
CVE-2024-8358
CVE-2024-8358漏洞是Visteon Infotainment 中存在的一个UPDATES_ExtractFile 命令注入远程代码执行漏洞,该漏洞的CVSS评分为6.8。
该漏洞具体存在于 UPDATES_ExtractFile 函数中,攻击者可通过精心制作的软件更新文件触发由用户提供的字符串组成的系统调用执行。
该漏洞允许物理在场的攻击者在Visteon Infotainment上执行任意代码,利用漏洞可在设备上下文中执行代码,利用不需要进行身份验证。
CVE-2024-8359
CVE-2024-8359漏洞是Visteon Infotainment中存在一个REFLASH_DDU_FindFile 命令注入远程代码执行漏洞,该漏洞的CVSS评分为6.8。
漏洞具体存在于 REFLASH_DDU_FindFile 函数中,攻击者可通过精心制作的软件更新文件触发由用户提供的字符串组成的系统调用执行。
该漏洞允许物理在场攻击者在Visteon Infotainment受影响安装上执行任意代码,利用其在设备上下文中执行代码且不需要进行身份验证。
漏洞是Visteon Infotainment中曝出的目前最容易利用的,因为漏洞的利用没有特定的利用要求,例如构建的更新文件的有效性即可实现。
CVE-2024-8360
CVE-2024-8360是Visteon Infotainment 中存在一个REFLASH_DDU_ExtractFile 命令注入远程代码执行漏洞,该漏洞的CVSS评分为6.8。
漏洞具体存在于REFLASH_DDU_ExtractFile函数中,攻击者通过精心制作的软件更新文件触发由用户提供的字符串组成的系统调用执行。
该漏洞允许物理在场攻击者在Visteon Infotainment受影响安装上执行任意代码,利用可在设备上下文中执行代码且不需要进行身份验证。
CVE-2024-8355、CVE-2024-8356、CVE-2024-8357、CVE-2024-8358、CVE-2024-8359、CVE-2024-8360漏洞可能导致远程执行代码。
其中CVE-2024-8358、CVE-2024-8359和CVE-2024-8360漏洞允许攻击者在CMU的更新模块中注入任意指令,从而可实现远程代码执行。
这三个不正确输入清理错误影响支持更新过程函数,允许攻击者注入将由主机 OS shell 执行任意操作系统命令,从而导致整个系统受损。
上述漏洞由趋势科技安全研究团队发现并负责任的披露,这些漏洞涉及日本汽车制造商马自达旗下多款车型 CMU 车机系统多项高危漏洞。
具体而言,上述漏洞影响2014至2021年款Mazda 3等车型,并涉及系统版本为74.00.324A的车机,而且这些漏洞被利用的门槛普遍较低。
黑客只需先控制受害者的手机,然后等受害者将手机作为USB设备连接到CMU车机系统之机,即可利用相关漏洞以root权限运行任意代码。
三、影响范围
Visteon infotainment CMU <= 150_na_74.00.324a
四、修复建议
Visteon infotainment CMU > 150_na_74.00.324a
五、参考链接
https://www.visteon.com/products/infotainment/