حذرت مبادرة Zero Day Initiative (ZDI) التابعة لشركة Trend Micro من ثغرات خطيرة في أنظمة المعلومات والترفيه في عدة طرازات من سيارات مازدا، حيث يمكن للمخترقين استغلال هذه الثغرات لتنفيذ تعليمات برمجية بامتيازات الجذر، مما قد يهدد سلامة المركبات ويمنحهم وصولًا غير مقيد إلى الشبكات الداخلية للسيارة.

تفاصيل الثغرات

وفقًا لـ ZDI، فإن الثغرات الأمنية تكمن في نظام التوصيل مازدا Connect Connectivity Master Unit (CMU)، بسبب عدم تطهير المدخلات مثل USB التي يوفرها المستخدم بشكل كافٍ، مما يتيح للمخترقين المحتملين إرسال أوامر إلى النظام عن طريق جهاز USB مُجهز خصيصًا.

وحدة الاتصال في مازدا تم تصنيعها بواسطة شركة Visteon، وتعمل بنظام تشغيل طورته Johnson Controls، مما يجعله هدفًا محتملًا للمخترقين.

وقد أشارت ZDI إلى أن الثغرات تم التعرف عليها تحت أسماء CVE-2024-8355، CVE-2024-8359، CVE-2024-8360، CVE-2024-8358، وCVE-2024-8357. تستغل هذه الثغرات عملية التحديث ووحدات التحكم، مما يسمح بحقن أوامر وتعليمات نظام التشغيل التي تُنفّذ بواسطة غلاف Linux في وحدة الرأس.

كيفية استغلال الثغرات

يمكن للمهاجم استخدام جهاز مزيف للرد على طلبات وحدة التحكم عبر USB بأوامر محددة تتسبب في تنفيذ تعليمات معقدة على نظام المعلومات والترفيه، بما في ذلك التلاعب بقاعدة البيانات وإنشاء ملفات عشوائية، وحتى إمكانية تثبيت مكونات نظام خلفية للتلاعب بنظام الملفات الجذر.

المخاطر المحتملة

يحذر الخبراء من أن استغلال هذه الثغرات قد يسمح للمهاجمين بالتحكم بوظائف المركبة الأساسية بتوجيهها أو سرقتها عبر شبكات CAN وLIN، مما قد يؤثر على سلامة القيادة والأداء العام للمركبة.