马自达被曝存在多个漏洞，黑客可执行任意代码

2025-11-26 20:50:51分类：数据库阅读(4975)

趋势科技披露 ，马自码多个马自达汽车型号的达被多信息娱乐系统存在漏洞
，可能会让攻击者以root权限执行任意代码 。曝存这些未修补的漏洞漏洞影响多个车型，包括但不限于马自达3、黑客马自达6和马自达CX-5。可执

趋势科技表示，行任漏洞原因是意代马自达 CMU 系统没有正确清理用户提供的输入，这就可能导致一个严重的马自码后果：攻击者可通过连接一个特别制作的香港云服务器USB设备来向系统发送命令。

具体来说，达被多这个关键的曝存安全漏洞（编号CVE-2024-8355 ）表现为
，当一个新的漏洞苹果设备连接时 ，CMU从设备中获取几个值并在SQL语句中使用它们而没有进行清理 。黑客这允许攻击者使用一个伪装的可执设备回复请求，用特定的行任命令在娱乐信息系统上以root权限执行 ，导致数据库操作、任意文件创建 ，亿华云以及潜在的代码执行
。

另外3个漏洞信息如下：

CVE-2023-28674 
：娱乐系统中的信息泄露漏洞 。CVE-2023-28675：可能导致代码执行的栈缓冲区溢出漏洞 。CVE-2023-28676 ：可能导致代码执行的越界写入漏洞。

第5个漏洞，被追踪为CVE-2024-8357，存在是因为在运行Linux的应用SoC中没有实现操作系统启动步骤的源码下载认证 ，允许攻击者操纵根文件系统
、配置数据和引导代码以实现持久性，SSH密钥安装和代码执行。

第6个漏洞 ，CVE-2024-8356  ，影响头部单元的第二系统 ，即运行未指定操作系统的MCU，支持CMU功能如CAN和LIN连接，并在CMU软件中被识别为VIP字符串 。

VIP在软件更新过程中也会被更新 ，建站模板趋势科技发现可以操纵特定的字符串，一旦被更新脚本接受 ，将导致验证一个被修改的固件图像
，该图像将被编程回VIP MCU。

总的来说 ，利用这些漏洞可以通过一个USB设备 ，其文件名包含要执行的操作系统命令。此外 ，将USB大容量存储设备连接到车辆可以自动触发软件更新过程 ，云计算促进命令注入漏洞的利用
。

攻击者可以安装后门系统组件来实现持久性
，可以横向移动并安装精心制作的VIP微控制器软件，以获得“对车辆网络的无限制访问 ，可能影响车辆操作和安全”。

趋势科技表示 ，这种攻击在实验室环境中几分钟内就可以完成 ，即便在现实世界场景中也不会花费太长时间 。CMU可以被破坏和“增强”，最终可能导致DoS、免费模板勒索攻击等更严峻的问题，建议供应商及时进行修复 。

参考链接：https://www.securityweek.com/unpatched-vulnerabilities-allow-hacking-of-mazda-cars-zdi/