Zero Day Initiativeはこのほど、「Zero Day Initiative — Multiple Vulnerabilities in the Mazda In-Vehicle Infotainment (IVI) System」において、自動車メーカーのマツダが提供する車載インフォテインメントシステムの「マツダコネクト(Mazda Connect)」に複数の脆弱性が存在すると報じた。

これら脆弱性を悪用されると、USBコネクタにアクセス可能な攻撃者にコネクティビティマスターユニット(CMU: Connectivity Master Unit)を乗っ取られる可能性がある。

  • Zero Day Initiative — Multiple Vulnerabilities in the Mazda In-Vehicle Infotainment (IVI) System

    Zero Day Initiative — Multiple Vulnerabilities in the Mazda In-Vehicle Infotainment (IVI) System

脆弱性の情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-8355 - SQLインジェクションの脆弱性。攻撃者はAppleデバイスに偽装した悪意のあるデバイスを接続することで、管理者権限によるデータベースの操作、情報窃取、ファイルの作成、任意のコード実行などができる
  • CVE-2024-8359 - libjcireflashua.soのREFLASH_DDU_FindFile関数にコマンドインジェクションの脆弱性
  • CVE-2024-8360 - libjcireflashua.soのREFLASH_DDU_ExtractFile関数にコマンドインジェクションの脆弱性
  • CVE-2024-8358 - svcjciupdates.soのUPDATES_ExtractFile関数にコマンドインジェクションの脆弱性
  • CVE-2024-8357 - アプリケーションSoCにブートストラップコードやファイルシステムの改ざん防止機能がない
  • CVE-2024-8356 - VIP MCUに未署名コードの脆弱性。攻撃者は細工したファームウェアをインストールすることで、アプリケーションSoCからVIP MUCを介してCANバスに不正アクセスできる

影響と対策

対象の脆弱性は2014年から2021年モデルのMazda3など、一部の車両に影響する。具体的にはVisteon製CMU搭載車両(ソフトウェアはJohnson Controls製)に影響する。

  • 影響を受けるユニットの例 - 引用:Zero Day Initiative

    影響を受けるユニットの例 引用:Zero Day Initiative

Zero Day Initiativeは最新のソフトウェアバージョン「74.00.324A」の調査において脆弱性を発見、対象の脆弱性はこれより前のソフトウェアバージョンにも存在するとみられている。本稿執筆時点において、これら脆弱性の修正は確認されていない。

攻撃者は悪意のあるUSBデバイスを接続して数分待機するだけで永続性のある侵害が可能とされる。しかしながら、攻撃にはUSBコネクタへの物理的なアクセスが必要とされ、ディーラー、車検関係者、係員付き有料駐車場など、鍵を入手できる人物のみ攻撃可能とされる。

なお、車載インフォテインメントシステムが侵害された場合、USBコネクタに接続したモバイルデバイスなども侵害される可能性がある。脆弱性の影響を受けるユニットを搭載した車両のオーナーは、信頼できない人物に車両を預けることなく、不審な動作がないことに注意して利用することが望まれている。